|
|
[doc. web n. 1364939]
[v. Comunicato
stampa]
GARANTE PER LA PROTEZIONE DEI
DATI PERSONALI
Linee guida in materia di
trattamento di dati personali di lavoratori per finalità di gestione
del rapporto di lavoro alle dipendenze di datori di lavoro privati
(Deliberazione
n. 53 del 23 novembre 2006)
PDF
SOMMARIO |
p. |
|
|
1. Premessa |
2 |
1.1. Scopo
delle linee guida |
2 |
1.2. Ambiti
considerati |
2 |
|
2. Il rispetto dei principi di
protezione dei dati personali |
3 |
2.1. Liceità,
pertinenza, trasparenza |
3 |
2.2. Finalità |
4 |
|
3. Titolare e responsabile del
trattamento |
4 |
3.1. Titolare
e responsabile |
4 |
3.2. Gruppi
di imprese |
5 |
3.3. Medico
competente |
5 |
|
|
4. Dati biometrici e accesso ad "aree
riservate" |
7 |
4.1. Nozione |
7 |
4.2. Sistemi
di rilevazione biometrica |
7 |
4.3. Misure
di sicurezza e tempi di conservazione |
8 |
4.4. Verifica
preliminare |
8 |
|
5. Comunicazione e diffusione di dati
personali |
9 |
5.1. Comunicazione |
9 |
5.2. Intranet aziendale
|
9 |
5.3. Diffusione |
10 |
5.4. Cartellini
identificativi |
10 |
5.5. Modalità
di comunicazione |
11 |
|
6. Dati idonei a rivelare lo stato di
salute di lavoratori |
11 |
6.1. Dati
sanitari |
11 |
6.2. Assenze
per ragioni di salute |
12 |
6.3. Denuncia
all'Inail |
13 |
6.4. Altre
informazioni relative alla salute |
13 |
6.5. Comunicazioni
all'Inps |
13 |
|
|
7. Informativa |
14 |
|
|
8. Misure di sicurezza
|
14 |
8.1. Dati
sanitari |
15 |
8.2. Incaricati |
15 |
8.3. Misure
fisiche ed organizzative |
15 |
|
|
9. Esercizio dei diritti previsti
dall'art. 7 del Codice e riscontro del datore di lavoro
|
16 |
9.1. Diritto
di accesso |
16 |
9.2. Riscontro
del datore di lavoro |
17 |
9.3. Tempestività
del riscontro |
17 |
9.4. Modalità
del riscontro |
17 |
9.5. Dati
personali e documentazione |
18 |
9.6. Aggiornamento |
19 |
1.
Premessa
1.1. Scopo delle linee guida. Per
fornire indicazioni e raccomandazioni con riguardo alle operazioni di
trattamento effettuate con dati personali (anche sensibili) di
lavoratori operanti alle dipendenze di datori di lavoro privati il
Garante ravvisa l'esigenza di adottare le presenti linee guida,
suscettibili di periodico aggiornamento, nelle quali si tiene conto,
altresì, di precedenti decisioni dell'Autorità.
Le indicazioni fornite non
pregiudicano l'applicazione delle disposizioni di legge o di regolamento
che stabiliscono divieti o limiti più restrittivi in relazione a taluni
settori o a specifici casi di trattamento di dati (artt. 113, 114 e 184,
comma 3, del Codice) 1.
1.2.
Ambiti considerati. Le tematiche prese
in considerazione si riferiscono prevalentemente alla comunicazione e
alla diffusione dei dati, all'informativa che il datore di lavoro deve
rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo
stato di salute e il diritto d'accesso.
Le operazioni di trattamento
riguardano per lo più:
|
dati anagrafici di lavoratori (assunti o cessati dal
servizio), dati biometrici, fotografie e dati sensibili riferiti
anche a terzi, idonei in particolare a rivelare il credo religioso o
l'adesione a sindacati; dati idonei a rivelare lo stato di salute,
di regola contenuti in certificati medici o in altra documentazione
prodotta per giustificare le assenze dal lavoro o per fruire di
particolari permessi e benefici previsti anche nei contratti
collettivi;
|
|
informazioni più strettamente connesse allo
svolgimento dell'attività lavorativa, quali la tipologia del
contratto (a tempo determinato o indeterminato, a tempo pieno o
parziale, etc.); la qualifica e il livello professionale, la
retribuzione individuale corrisposta anche in virtù di provvedimenti
"ad personam"; l'ammontare di premi; il tempo di lavoro anche
straordinario; ferie e permessi individuali (fruiti o residui);
l'assenza dal servizio nei casi previsti dalla legge o dai contratti
anche collettivi di lavoro; trasferimenti ad altra sede di lavoro;
procedimenti e provvedimenti disciplinari.
|
I medesimi dati sono:
2.
Il rispetto dei principi di protezione dei dati personali
2.1. Liceità, pertinenza,
trasparenza. Le predette informazioni di carattere personale
possono essere trattate dal datore di lavoro nella misura in cui siano
necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta,
sono anche indispensabili per attuare previsioni contenute in leggi,
regolamenti, contratti e accordi collettivi.
In ogni caso, deve trattarsi di
informazioni pertinenti e non eccedenti e devono essere osservate tutte
le disposizioni della vigente disciplina in materia di protezione dei
dati personali che trae origine anche da direttive comunitarie.
In particolare, il Codice in materia
di protezione dei dati personali (Codice), in attuazione delle direttive
95/46/Ce e 2002/58/Ce, prescrive che il trattamento di dati personali
avvenga:
|
nel rispetto di principi di necessità e liceità e che
riguardano la qualità dei dati (artt. 3 e 11);
|
|
informando preventivamente e adeguatamente gli
interessati (art. 13);
|
|
chiedendo preventivamente il consenso solo quando,
anche a seconda della natura dei dati, non sia corretto avvalersi di
uno degli altri presupposti equipollenti al consenso (artt. 23, 24,
26 e 43 del Codice);
|
|
rispettando, se si trattano dati sensibili o
giudiziari, le prescrizioni impartite dal Garante nelle
autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27
del Codice; cfr., in particolare, l'autorizzazione generale n. 1/2005);
|
|
adottando le misure di sicurezza idonee a preservare
i dati da alcuni eventi tra i quali accessi ed utilizzazioni
indebite, rispetto ai quali può essere chiamato a rispondere anche
civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del Codice).
|
2.2.
Finalità. Il trattamento di dati
personali riferibili a singoli lavoratori, anche sensibili, è lecito, se
finalizzato ad assolvere obblighi derivanti dal contratto individuale
(ad esempio, per verificare l'esatto adempimento della prestazione o
commisurare l'importo della retribuzione, anche per lavoro
straordinario, o dei premi da corrispondere, per quantificare le ferie e
i permessi, per appurare la sussistenza di una causa legittima di
assenza).
Alcuni scopi sono altresì previsti
dalla contrattazione collettiva per la determinazione di circostanze
relative al rapporto di lavoro individuale (ad esempio, per la fruizione
di permessi o aspettative sindacali e periodi di comporto o rispetto
alle percentuali di lavoratori da assumere con particolari tipologie di
contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni
ad enti previdenziali e assistenziali).
Se queste finalità sono in termini
generali lecite, occorre però rispettare il principio della
compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett. b), del
Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base
del trattamento di dati personali non deve essere infatti incompatibile
con le finalità per le quali i medesimi sono stati raccolti.
3.
Titolare e responsabile del trattamento
3.1. Titolare e responsabile. Ai
fini della protezione dei dati personali assume un ruolo rilevante
identificare le figure soggettive che a diverso titolo possono trattare
i dati, definendo chiaramente le rispettive attribuzioni, in
particolare, quelle del titolare e del responsabile del trattamento (artt.
4, comma 1, lett. f) e g), 28 e 29 del Codice).
In linea di principio, per individuare il titolare del trattamento
rileva l'effettivo centro di imputazione del rapporto di lavoro, al di
là dello schema societario formalmente adottato 4.
Peraltro, specie nelle realtà imprenditoriali più articolate, questa
identificazione può risultare non sempre agevole e tale circostanza
costituisce in qualche caso un ostacolo anche per l'esercizio dei
diritti di cui all'art. 7 5.
3.2.
Gruppi di imprese. Le società che
appartengono a gruppi di imprese individuati in conformità alla legge
(art. 2359 cod. civ.; d.lg. 2 aprile 2002, n. 74) hanno di regola una
distinta ed autonoma titolarità del trattamento in relazione ai dati
personali dei propri dipendenti e collaboratori (artt. 4, comma 1, lett.
f) e 28 del Codice).
Tuttavia, nell'ambito dei gruppi, le
società controllate e collegate possono delegare la società capogruppo a
svolgere adempimenti in materia di lavoro, previdenza ed assistenza
sociale per i lavoratori indicati dalla legge 6:
tale attività implica la designazione della società capogruppo quale
responsabile del trattamento ai sensi dell'art. 29 del Codice
7.
Analoga soluzione (art. 31, comma 2,
d.lg. n. 276/2003) deve essere adottata per i trattamenti di dati
personali, aventi identica natura, effettuati nell'ambito dei consorzi
di società cooperative (nei quali a tal fine può essere altresì
designata una delle società consorziate).
3.3.
Medico competente. Considerazioni
ulteriori devono essere svolte in relazione a taluni specifici
trattamenti che possono o devono essere effettuati all'interno
dell'impresa in conformità alla disciplina in materia di sicurezza e
igiene del lavoro 8.
Tale disciplina, che attua anche
alcune direttive comunitarie e si colloca nell'ambito del più generale
quadro di misure necessarie a tutelare l'integrità psico-fisica dei
lavoratori (art. 2087 cod. civ.), pone direttamente in capo al medico
competente in materia di igiene e sicurezza dei luoghi di lavoro la
sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del
d.lg. n. 626/1994, il correlativo trattamento dei dati contenuti in
cartelle cliniche).
In quest'ambito, il medico competente
effettua accertamenti preventivi e periodici sui lavoratori (art. 33
d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone
l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle
prescrizioni contenute negli artt. 17, 59-quinquiesdecies,
comma 2, lett. b), 59-sexiesdecies e 70 d.lg. n. 626/1994).
Detta cartella è custodita presso
l'azienda o l'unità produttiva, "con salvaguardia del segreto
professionale, e [consegnata in] copia al lavoratore stesso al
momento della risoluzione del rapporto di lavoro, ovvero quando lo
stesso ne fa richiesta" (art. 4, comma 8, d.lg. n. 626/1994); in
caso di cessazione del rapporto di lavoro le cartelle sono trasmesse
all'Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art.
72-undecies, comma 3, d.lg. n. 626/1994), in originale e in
busta chiusa 9.
In relazione a tali disposizioni, il
medico competente è deputato a trattare i dati sanitari dei lavoratori,
procedendo alle dovute annotazioni nelle cartelle sanitarie e di
rischio, e curando le opportune misure di sicurezza per salvaguardare la
segretezza delle informazioni trattate in rapporto alle finalità e
modalità del trattamento stabilite. Ciò, quale che sia il titolare del
trattamento effettuato dal medico 10.
Alle predette cartelle il datore di
lavoro non può accedere, dovendo soltanto concorrere ad assicurarne
un'efficace custodia nei locali aziendali (anche in vista di possibili
accertamenti ispettivi da parte dei soggetti istituzionalmente
competenti), ma, come detto, "con salvaguardia del segreto
professionale" 11.
Il datore di lavoro, sebbene sia
tenuto, su parere del medico competente (o qualora il medico lo informi
di anomalie imputabili all'esposizione a rischio), ad adottare le misure
preventive e protettive per i lavoratori interessati, non può conoscere
le eventuali patologie accertate, ma solo la valutazione finale circa
l'idoneità del dipendente (dal punto di vista sanitario) allo
svolgimento di date mansioni.
In tal senso, peraltro, depongono
anche le previsioni legislative che dispongono la comunicazione all'Ispesl
della cartella sanitaria e di rischio in caso di cessione (art. 59-sexiesdecies,
comma 4, d.lg. n. 626/1994) o cessazione del rapporto di lavoro (art.
72-undecies d.lg. n. 626/1994), precludendosi anche in tali
occasioni ogni loro conoscibilità da parte del datore di lavoro.
4.
Dati biometrici e accesso ad "aree riservate"
4.1. Nozione. In più
circostanze, anche ricorrendo al procedimento previsto dall'art. 17 del
Codice, è stato prospettato al Garante l'utilizzo di dati biometrici sul
luogo di lavoro 12,
con particolare riferimento all'impiego di tali informazioni per
accedere ad aree specifiche dell'impresa.
Si tratta di dati ricavati dalle
caratteristiche fisiche o comportamentali della persona a seguito di un
apposito procedimento (in parte automatizzato) e poi risultanti in un
modello di riferimento. Quest'ultimo consiste in un insieme di valori
numerici ricavati, attraverso funzioni matematiche, dalle
caratteristiche individuali sopra indicate, preordinati
all'identificazione personale attraverso opportune operazioni di
confronto tra il codice numerico ricavato ad ogni accesso e quello
originariamente raccolto.
L'uso generalizzato e incontrollato di
dati biometrici, specie se ricavati dalle impronte digitali, non è
lecito. Tali dati, per la loro peculiare natura, richiedono l'adozione
di elevate cautele per prevenire possibili pregiudizi a danno degli
interessati, con particolare riguardo a condotte illecite che
determinino l'abusiva "ricostruzione" dell'impronta, partendo dal
modello di riferimento, e la sua ulteriore "utilizzazione" a loro
insaputa.
L'utilizzo di dati biometrici può
essere giustificato solo in casi particolari, tenuto conto delle
finalità e del contesto in cui essi sono trattati e, in relazione ai
luoghi di lavoro, per presidiare accessi ad "aree sensibili",
considerata la natura delle attività ivi svolte: si pensi, ad esempio, a
processi produttivi pericolosi 13 o
sottoposti a segreti di varia natura
14 o
al fatto che particolari locali siano destinati alla custodia di beni,
documenti segreti o riservati o oggetti di valore
15.
4.2.
Sistemi di rilevazione biometrica .
Inoltre, nei casi in cui l'uso dei dati biometrici è consentito, la
centralizzazione in una banca dati delle informazioni personali (nella
forma del predetto modello) trattate nell'ambito del descritto
procedimento di riconoscimento biometrico risulta di regola
sproporzionata e non necessaria. I sistemi informativi devono essere
infatti configurati in modo da ridurre al minimo l'utilizzazione di dati
personali e da escluderne il trattamento, quando le finalità perseguite
possono essere realizzate con modalità tali da permettere di
identificare l'interessato solo in caso di necessità (artt. 3 e 11 del
Codice).
In luogo, quindi, di modalità
centralizzate di trattamento dei dati biometrici, deve ritenersi
adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di
identificazione biometrica basati sulla lettura delle impronte digitali
memorizzate, tramite il predetto modello cifrato, su un supporto posto
nell'esclusiva disponibilità dell'interessato (una smart card o
un dispositivo analogo) e privo di indicazioni nominative riferibili a
quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un
codice individuale).
Tale modalità di riconoscimento,
infatti, è idonea ad assicurare che possano accedere all'area riservata
solo coloro che, autorizzati preventivamente, decidano su base
volontaria di avvalersi della predetta carta o del dispositivo analogo.
Il confronto delle impronte digitali con il modello memorizzato sulla
carta o sul dispositivo può essere realizzato ricorrendo a comuni
procedure di confronto sulla carta o dispositivo stesso, evitando così
la costituzione di un archivio di delicati dati biometrici. Del resto,
in caso di smarrimento della carta o dispositivo, sono allo stato
circoscritte le possibilità di abuso rispetto ai dati biometrici ivi
memorizzati.
4.3.
Misure di sicurezza e tempi di conservazione. I
dati personali necessari per realizzare il modello possono essere
trattati esclusivamente durante la fase di registrazione; per il loro
utilizzo, il titolare del trattamento deve raccogliere il preventivo
consenso informato degli interessati.
In aggiunta alle misure di sicurezza
minime prescritte dal Codice, devono essere adottati ulteriori
accorgimenti a protezione dei dati, impartendo agli incaricati apposite
istruzioni scritte alle quali attenersi, con particolare riguardo al
caso di perdita o sottrazione delle carte o dispositivi loro affidati.
I dati memorizzati devono essere
accessibili al personale preposto al rispetto delle misure di sicurezza
all'interno dell'impresa, per l'esclusiva finalità della verifica della
loro osservanza (rispettando peraltro la disciplina sul controllo a
distanza dei lavoratori: art. 4, comma 2, l. 20 maggio 1970, n. 300,
richiamato dall'art. 114 del Codice).
I dati raccolti non possono essere di
regola conservati per un arco di tempo superiore a sette giorni e vanno
assicurati, anche quando tale arco temporale possa essere lecitamente
protratto, idonei meccanismi di cancellazione automatica dei dati.
4.4.
Verifica preliminare. Resta salva, per
fattispecie particolari o in ragione di situazioni eccezionali non
considerate in questa sede, la presentazione da parte di titolari del
trattamento che intendano discostarsi dalle presenti prescrizioni, di
apposito interpello al Garante, ai sensi dell'art. 17 del Codice.
5.
Comunicazione e diffusione di dati personali
5.1. Comunicazione. La
conoscenza dei dati personali relativi ad un lavoratore da parte di
terzi è ammessa se l'interessato vi acconsente.
Se il datore di lavoro non può
avvalersi correttamente di uno degli altri presupposti del trattamento
equipollenti al consenso (art. 24 del Codice), non può prescindersi dal
consenso stesso per comunicare dati personali (ad esempio, inerenti alla
circostanza di un'avvenuta assunzione, allo status o alla
qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a
trasferimenti del lavoratore) a terzi quali:
|
associazioni (anche di categoria) di datori di
lavoro, o di ex dipendenti (anche della medesima istituzione);
|
|
conoscenti, familiari e parenti.
|
Fermo restando il rispetto dei
principi generali sopra richiamati in materia di trattamento di dati
personali (cfr. punto 2),
rimane impregiudicata la facoltà del datore di lavoro di disciplinare le
modalità del proprio trattamento designando i soggetti, interni o
esterni, incaricati o responsabili del trattamento, che possono
acquisire conoscenza dei dati inerenti alla gestione del rapporto di
lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte
alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30). Ciò,
ove necessario, anche mediante consegna di copia di documenti all'uopo
predisposti.
È altresì impregiudicata la facoltà
del datore di lavoro di comunicare a terzi in forma realmente anonima
dati ricavati dalle informazioni relative a singoli o gruppi di
lavoratori: si pensi al numero complessivo di ore di lavoro
straordinario prestate o di ore non lavorate a livello aziendale o
all'interno di singole unità produttive, agli importi di premi aziendali
di risultato individuati per fasce, o qualifiche/livelli professionali,
anche nell'ambito di singole funzioni o unità organizzative).
5.2.
Intranet aziendale. Allo stesso modo, il
consenso del lavoratore è necessario per pubblicare informazioni
personali allo stesso riferite (quali fotografia, informazioni
anagrafiche o curricula) nella intranet aziendale (e a
maggior ragione in Internet), non risultando tale ampia
circolazione di dati personali di regola "necessaria per eseguire
obblighi derivanti dal contratto di lavoro " (art. 24, comma 1,
lett. b), del Codice). Tali obblighi possono trovare esecuzione
indipendentemente da tale particolare forma di divulgazione che
comunque, potendo a volte risultare pertinente (specie in realtà
produttive di grandi dimensioni o ramificate sul territorio), richiede
il preventivo consenso del singolo dipendente, salva specifica
disposizione di legge.
5.3.
Diffusione. In assenza di specifiche
disposizioni normative che impongano al datore di lavoro la diffusione
di dati personali riferiti ai lavoratori (art. 24, comma 1, lett. a) o
la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24
del Codice, la diffusione stessa può avvenire solo se necessaria per
dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24,
comma 1, lett. b) del Codice). È il caso, ad esempio, dell'affissione
nella bacheca aziendale di ordini di servizio, di turni lavorativi o
feriali, oltre che di disposizioni riguardanti l'organizzazione del
lavoro e l'individuazione delle mansioni cui sono deputati i singoli
dipendenti 16.
Salvo che ricorra una di queste
ipotesi, non è invece di regola lecito dare diffusione a informazioni
personali riferite a singoli lavoratori, anche attraverso la loro
pubblicazione in bacheche aziendali o in comunicazioni interne destinate
alla collettività dei lavoratori, specie se non correlate all'esecuzione
di obblighi lavorativi. In tali casi la diffusione si pone anche in
violazione dei principi di finalità e pertinenza (art. 11 del Codice),
come nelle ipotesi di:
|
affissione relativa ad emolumenti percepiti o che
fanno riferimento a particolari condizioni personali 17;
|
|
sanzioni disciplinari irrogate o informazioni
relative a controversie giudiziarie;
|
|
assenze dal lavoro per malattia;
|
|
iscrizione e/o adesione dei singoli lavoratori ad
associazioni.
|
5.4.
Cartellini identificativi. Analogamente,
si possono determinare altre forme di diffusione di dati personali
quando dette informazioni debbano essere riportate ed esibite su
cartellini identificativi appuntati ad esempio sull'abito o sulla divisa
del lavoratore (di solito, con lo scopo di migliorare il rapporto fra
operatori ed utenti o clienti).
Al riguardo, questa Autorità ha già
rilevato 18,
in relazione allo svolgimento del rapporto di lavoro alle dipendenze di
soggetti privati, che l'obbligo di portare in modo visibile un
cartellino identificativo può trovare fondamento in alcune prescrizioni
contenute in accordi sindacali aziendali, il cui rispetto può essere
ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in
relazione al rapporto con il pubblico, si è ravvisata la sproporzione
dell'indicazione sul cartellino di dati personali identificativi
(generalità o dati anagrafici), ben potendo spesso risultare sufficienti
altre informazioni (quali codici identificativi, il solo nome o il ruolo
professionale svolto), per sé sole in grado di essere d'ausilio
all'utenza.
5.5.
Modalità di comunicazione. Salvi i casi
in cui forme e modalità di divulgazione di dati personali discendano da
specifiche previsioni (cfr. art. 174, comma 12, del Codice) 19,
il datore di lavoro deve utilizzare forme di comunicazione
individualizzata con il lavoratore, adottando le misure più opportune
per prevenire un'indebita comunicazione di dati personali, in
particolare se sensibili, a soggetti diversi dal destinatario, ancorché
incaricati di talune operazioni di trattamento (ad esempio, inoltrando
le comunicazioni in plico chiuso o spillato; invitando l'interessato a
ritirare personalmente la documentazione presso l'ufficio competente;
ricorrendo a comunicazioni telematiche individuali).
Analoghe cautele, tenendo conto delle
circostanze di fatto, devono essere adottate in relazione ad altre forme
di comunicazione indirizzate al lavoratore dalle quali possano desumersi
vicende personali 20.
6.
Dati idonei a rivelare lo stato di salute di lavoratori
6.1. Dati sanitari. Devono
essere osservate cautele particolari anche nel trattamento dei dati
sensibili del lavoratore (art. 4, comma 1, lett. d), del Codice) e,
segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra
questi ultimi, può rientrare l'informazione relativa all'assenza dal
servizio per malattia, indipendentemente dalla circostanza della
contestuale enunciazione della diagnosi
21.
Per tali informazioni, l'ordinamento appresta anche fuori della
disciplina di protezione dei dati personali particolari accorgimenti per
contenere, nei limiti dell'indispensabile, i dati dei quali il datore di
lavoro può venire a conoscenza per dare esecuzione al contratto (cfr.
già l'art. 8 della legge n. 300/1970).
In questo contesto, la disciplina
generale contenuta nel Codice deve essere coordinata ed integrata, come
si è visto (cfr. punto 3.3.),
con altre regole settoriali
22 o
speciali 23.
Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5,
del Codice).
6.2.
Assenze per ragioni di salute. Con
specifico riguardo al trattamento di dati idonei a rivelare lo stato di
salute dei lavoratori, la normativa di settore e le disposizioni
contenute nei contratti collettivi giustificano il trattamento dei dati
relativi ai casi di infermità (e talora a quelli inerenti all'esecuzione
di visite specialistiche o di accertamenti clinici) che determini
un'incapacità lavorativa (temporanea o definitiva, con la conseguente
sospensione o risoluzione del contratto). Non diversamente, il datore di
lavoro può trattare dati relativi a invalidità o all'appartenenza a
categorie protette, nei modi e per le finalità prescritte dalla vigente
normativa in materia.
A tale riguardo, infatti, sussiste un
quadro normativo articolato che prevede anche obblighi di comunicazione
in capo al lavoratore e di successiva certificazione nei confronti del
datore di lavoro e dell'ente previdenziale della condizione di malattia:
obblighi funzionali non solo a giustificare i trattamenti normativi ed
economici spettanti al lavoratore, ma anche a consentire al datore di
lavoro, nelle forme di legge 24,
di verificare le reali condizioni di salute del lavoratore.
Per attuare tali obblighi viene
utilizzata un'apposita modulistica, consistente in un attestato di
malattia da consegnare al datore di lavoro –con la sola indicazione
dell'inizio e della durata presunta dell'infermità: c.d. "prognosi"– e
in un certificato di diagnosi da consegnare, a cura del lavoratore
stesso, all'Istituto nazionale della previdenza sociale (Inps) o alla
struttura pubblica indicata dallo stesso Istituto d'intesa con la
regione, se il lavoratore ha diritto a ricevere l'indennità di malattia
a carico dell'ente previdenziale 25.
Tuttavia, qualora dovessero essere
presentati dai lavoratori certificati medici redatti su modulistica
diversa da quella sopra descritta, nella quale i dati di prognosi e di
diagnosi non siano separati, i datori di lavoro restano obbligati, ove
possibile, ad adottare idonee misure e accorgimenti volti a prevenirne
la ricezione o, in ogni caso, ad oscurali 26.
6.3.
Denuncia all'Inail. Diversamente, per
dare esecuzione ad obblighi di comunicazione relativi a dati sanitari,
in taluni casi il datore di lavoro può anche venire a conoscenza delle
condizioni di salute del lavoratore.
Tra le fattispecie più ricorrenti deve
essere annoverata la denuncia all'Istituto assicuratore (Inail) avente
ad oggetto infortuni e malattie professionali occorsi ai lavoratori;
essa, infatti, per espressa previsione normativa, deve essere corredata
da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).
In tali casi, pur essendo legittima la
conoscenza della diagnosi da parte del datore di lavoro, resta fermo a
suo carico l'obbligo di limitarsi a comunicare all'ente assistenziale
esclusivamente le informazioni sanitarie relative o collegate alla
patologia denunciata e non anche dati sulla salute relativi ad altre
assenze che si siano verificate nel corso del rapporto di lavoro, la cui
eventuale comunicazione sarebbe eccedente e non pertinente –con la
conseguente loro inutilizzabilità–, trattandosi di dati non rilevanti
nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice) 27.
6.4.
Altre informazioni relative alla salute. A
tali fattispecie devono essere aggiunti altri casi nei quali può,
parimenti, effettuarsi un trattamento di dati relativi alla salute del
lavoratore (e finanche di suoi congiunti), anche al fine di permettergli
di godere dei benefici di legge (quali, ad esempio, permessi o periodi
prolungati di aspettativa con conservazione del posto di lavoro): si
pensi, ad esempio, a informazioni relative a condizioni di handicap
28.
Allo stesso modo, il datore di lavoro
può venire a conoscenza dello stato di tossicodipendenza del dipendente,
ove questi richieda di accedere a programmi riabilitativi o terapeutici
con conservazione del posto di lavoro (senza retribuzione), atteso
l'onere di presentare (nei termini prescritti dai contratti collettivi)
specifica documentazione medica al datore di lavoro (ai sensi dell'art.
124, commi 1 e 2, d.P.R. n. 309/1990).
6.5.
Comunicazioni all'Inps. È altresì
legittima la comunicazione di dati idonei a rivelare lo stato di salute
dei lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti
previdenziali e assistenziali) tenuti a erogare le prescritte indennità
in adempimento a specifici obblighi derivanti dalla legge, da altre
norme o regolamenti o da previsioni contrattuali, nei limiti delle sole
informazioni indispensabili.
In particolare, il datore di lavoro
può comunicare all'Istituto nazionale della previdenza sociale (Inps) i
dati del dipendente assente, anche per un solo giorno, al fine di farne
controllare lo stato di malattia (art. 5, commi 1 e 2,
l. 20 maggio 1970, n. 300) 29;
a tal fine deve tenere a disposizione e produrre, a richiesta, all'Inps,
la documentazione in suo possesso. Le eventuali visite di controllo
sullo stato di infermità del lavoratore, ai sensi dell'art. 5 della
legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura
sanitaria pubblica da esso indicata, sono effettuate dai medici dei
servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.).
7. Informativa
Il datore di lavoro è tenuto a rendere
al lavoratore, prima di procedere al trattamento dei dati personali che
lo riguardano (anche in relazione alle ipotesi nelle quali la legge non
richieda il suo consenso), un'informativa individualizzata completa
degli elementi indicati dall'art. 13 del Codice 30.
Con particolare riferimento a realtà
produttive nelle quali, per ragioni organizzative (ad esempio, per
l'articolata dislocazione sul territorio o per il ricorso consistente a
forme di out-sourcing) o dimensionali, può risultare difficoltoso per il
singolo lavoratore esercitare i propri diritti ai sensi dell'art. 7 del
Codice, è opportuna la designazione di un responsabile del trattamento
appositamente deputato alla trattazione di tali profili (o di
responsabili esterni alla società, che effettuino, ad esempio,
l'attività di gestione degli archivi amministrativi dei dipendenti),
indicandolo chiaramente nell'informativa fornita.
8.
Misure di sicurezza
8.1. Dati sanitari. Il
datore di lavoro titolare del trattamento è tenuto ad adottare ogni
misura di sicurezza, anche minima, prescritta dal Codice a protezione
dei dati personali dei dipendenti comunque trattati nell'ambito del
rapporto di lavoro, ponendo particolare attenzione all'eventuale natura
sensibile dei medesimi (art. 31 ss. e
Allegato B) al Codice).
Dette informazioni devono essere
conservate separatamente da ogni altro dato personale dell'interessato;
ciò, deve trovare attuazione anche con riferimento ai fascicoli
personali cartacei dei dipendenti (ad esempio, utilizzando sezioni
appositamente dedicate alla custodia dei dati sensibili, inclusi quelli
idonei a rivelare lo stato di salute del lavoratore, da conservare
separatamente o in modo da non consentirne una indistinta consultazione
nel corso delle ordinarie attività amministrative 31).
Del pari, nei casi in cui i lavoratori
producano spontaneamente certificati medici su modulistica diversa da
quella descritta al punto 6.2.,
il datore di lavoro non può, comunque, utilizzare ulteriormente tali
informazioni (art. 11, comma 2, del Codice) e deve adottare gli
opportuni accorgimenti per non rendere visibili le diagnosi contenute
nei certificati (ad esempio, prescrivendone la circolazione in busta
chiusa previo oscuramento di tali informazioni); ciò, al fine di
impedire ogni accesso abusivo a tali dati da parte di soggetti non
previamente designati come incaricati o responsabili (art. 31 e ss. del
Codice).
8.2.
Incaricati. Resta fermo l'obbligo del
datore di lavoro di preporre alla custodia dei dati personali dei
lavoratori apposito personale, specificamente incaricato del
trattamento, che "deve avere cognizioni in materia di protezione dei
dati personali e ricevere una formazione adeguata. In assenza di
un'adeguata formazione degli addetti al trattamento dei dati personali
il rispetto della riservatezza dei lavoratori sul luogo di lavoro non
potrà mai essere garantito"
32.
8.3.
Misure fisiche ed organizzative. Il
datore di lavoro deve adottare, tra l'altro (cfr. artt. 31 ss. del
Codice), misure organizzative e fisiche idonee a garantire che:
|
i luoghi ove si svolge il trattamento di dati
personali dei lavoratori siano opportunamente protetti da indebite
intrusioni;
|
|
le comunicazioni personali riferibili esclusivamente
a singoli lavoratori avvengano con modalità tali da escluderne
l'indebita presa di conoscenza da parte di terzi o di soggetti non
designati quali incaricati;
|
|
siano impartite chiare istruzioni agli incaricati in
ordine alla scrupolosa osservanza del segreto d'ufficio, anche con
riguardo a dipendenti del medesimo datore di lavoro che non abbiano
titolo per venire a conoscenza di particolari informazioni
personali;
|
|
sia prevenuta l'acquisizione e riproduzione di dati
personali trattati elettronicamente, in assenza di adeguati sistemi
di autenticazione o autorizzazione e/o di documenti contenenti
informazioni personali da parte di soggetti non autorizzati 33;
|
|
sia prevenuta l'involontaria acquisizione di
informazioni personali da parte di terzi o di altri dipendenti:
opportuni accorgimenti, ad esempio, devono essere presi in presenza
di una particolare conformazione o dislocazione degli uffici, in
assenza di misure idonee volte a prevenire la diffusione delle
informazioni (si pensi al mancato rispetto di distanze di sicurezza
o alla trattazione di informazioni riservate in spazi aperti,
anziché all'interno di locali chiusi).
|
9.
Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del
datore di lavoro
9.1. Diritto di accesso. I
lavoratori interessati possono esercitare nei confronti del datore di
lavoro i diritti previsti dall'art. 7 del Codice (nei modi di cui agli
artt. 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano
(anziché, in quanto tale, all'intera documentazione che li contiene
34),
di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la
cancellazione, la trasformazione in forma anonima o il blocco se
trattati in violazione di legge, di opporsi al trattamento per motivi
legittimi.
La richiesta di accesso che non faccia
riferimento ad un particolare trattamento o a specifici dati o categorie
di dati, deve ritenersi riferita a tutti i dati personali che riguardano
il lavoratore comunque trattati dall'amministrazione (art. 10) e può
riguardare anche informazioni di tipo valutativo 35,
alle condizioni e nei limiti di cui all'art. 8, comma 5.
Tra essi non rientrano notizie di
carattere contrattuale o professionale che non hanno natura di dati
personali in qualche modo riferibili a persone identificate o
identificabili 36.
9.2.
Riscontro del datore di lavoro. Il datore
di lavoro destinatario della richiesta è tenuto a fornire un riscontro
completo alla richiesta del lavoratore interessato, senza limitarsi alla
sola elencazione delle tipologie di dati detenuti, ma comunicando in
modo chiaro e intelligibile tutte le informazioni in suo possesso
37.
9.3.
Tempestività del riscontro. Il riscontro
deve essere fornito nel termine di 15 giorni dal ricevimento
dell'istanza dell'interessato (ritualmente presentata
38
); il termine più lungo, pari a 30 giorni, può essere
osservato, dandone comunicazione all'interessato, solo se le operazioni
necessarie per un integrale riscontro sono di particolare complessità o
se ricorre altro giustificato motivo (art. 146 del Codice).
Pertanto il datore di lavoro, specie
nelle realtà produttive di grande dimensione 39,
deve pertanto predisporre procedure organizzative adeguate per dare
piena attuazione alle disposizioni del Codice in materia di accesso ai
dati e all'esercizio degli altri diritti, anche attraverso l'impiego di
appositi programmi finalizzati ad una accurata selezione dei dati
relativi a singoli lavoratori, nonché alla semplificazione delle
modalità e alla compressione dei tempi per il riscontro.
9.4.
Modalità del riscontro. Il
riscontro può essere fornito anche oralmente; tuttavia, in presenza di
una specifica istanza, il datore di lavoro è tenuto a trasporre i dati
su supporto cartaceo o informatico o a trasmetterli all'interessato per
via telematica (art. 10).
Muovendo dalla previsione dell'art.
10, comma 1, del Codice, secondo cui il titolare deve predisporre
accorgimenti idonei "a semplificare le modalità e a ridurre i tempi per
il riscontro al richiedente", può risultare legittima la richiesta
dell'interessato di ricevere la comunicazione dei dati in questione
presso la propria sede lavorativa o la propria abitazione 40.
9.5.
Dati personali e documentazione. Come più
volte dichiarato dal Garante
41,
l'esercizio del diritto di accesso consente di ottenere, ai sensi
dell'art. 10 del Codice, solo la comunicazione dei dati personali
relativi al richiedente detenuti dal titolare del trattamento e da
estrarre da atti e documenti; non permette invece di richiedere a quest'ultimo
il diretto e illimitato accesso a documenti e ad intere tipologie di
atti, o la creazione di documenti allo stato inesistenti negli archivi,
o la loro innovativa aggregazione secondo specifiche modalità
prospettate dall'interessato o, ancora, di ottenere, sempre e
necessariamente, copia dei documenti detenuti, ovvero di pretendere
particolari modalità di riscontro (salvo quanto previsto per la
trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del
Codice).
Specie nei casi in cui è elevata la
mole di informazioni personali detenute dal titolare del trattamento, il
diritto di accesso ai dati può essere soddisfatto mettendo a
disposizione dell'interessato il fascicolo personale 42,
dal quale successivamente possono essere estratte le informazioni
personali.
La scelta circa l'eventuale esibizione
o consegna in copia di atti e documenti contenenti i dati personali
richiesti può essere effettuata dal titolare del trattamento nel solo
caso in cui l'estrapolazione dei dati personali da tali documenti
risulti particolarmente difficoltosa per il titolare medesimo 43;
devono essere poi omessi eventuali dati personali riferiti a terzi (art.
10, comma 4, del Codice)
44.
L'adozione di tale modalità di riscontro non comporta l'obbligo in capo
al titolare di fornire copia di tutti i documenti che contengano i
medesimi dati personali dell'interessato, quando gli stessi dati siano
conservati in più atti, lettere o note.
Nel fornire riscontro ad una richiesta
di accesso formulata ai sensi degli artt. 7 e 8 del Codice, il titolare
del trattamento deve, poi, comunicare i dati richiesti ed effettivamente
detenuti, e non è tenuto a ricercare o raccogliere altri dati che non
siano nella propria disponibilità e non siano oggetto, in alcuna forma,
di attuale trattamento da parte dello stesso (o perché originariamente
trattati e non più disponibili, ovvero perché, come nel caso di dati
contenuti nella corrispondenza intercorsa, in qualunque forma, tra
dipendenti di un determinato datore di lavoro, non siano mai stati
nell'effettiva e libera disponibilità di quest'ultimo (si pensi al caso
di dati contenuti nella corrispondenza intercorsa tra dipendenti 45
) –al di là dei profili di tutela della segretezza della
corrispondenza che pur vengono in rilievo–, non competerebbero le
decisioni in ordine alle loro finalità e modalità di trattamento (cfr. art. 4,
comma 1, lett. f), del Codice).
9.6.
Aggiornamento. Infine, il lavoratore può
ottenere l'aggiornamento dei dati personali a sé riferiti
46.
In ordine, poi, all'eventuale richiesta di rettifica dei dati personali
indicati nel profilo professionale del lavoratore, la medesima può
avvenire solo in presenza della prova dell'effettiva e legittima
attribuibilità delle qualifiche rivendicate dall'interessato, ad esempio
in base a "decisioni o documenti del datore di lavoro o di terzi,
obblighi derivanti dal contratto di lavoro, provvedimenti di organi
giurisdizionali relativi all'interessato o altri titoli o atti che
permettano di ritenere provata, agli effetti e sul piano
dell'applicazione della [disciplina di protezione dei dati personali],
la richiesta dell'interessato" (che può comunque far valere in altra
sede, sulla base di idoneo materiale probatorio, la propria pretesa al
riconoscimento della qualifica o mansione rivendicata)
47.
NOTE:
1. Le
indicazioni rese tengono altresì conto, per i profili esaminati, della
Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla
protezione dei dati a carattere personale utilizzati ai fini
dell'occupazione, del Parere
8/2001sul trattamento dei dati personali
nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo
dei Garanti europei, in
http://ec.europa.eu e del Code
of practice, "Protection of workers' personal data ",
pubblicato dall'Organizzazione internazionale del lavoro (ILO).
2. Cfr.
Provv. 10 gennaio 2002, inhttp://www.garanteprivacy.it,
doc. web n.
1064553
3. Cfr.
Provv. 23 aprile 2002, doc. web n.
1065065
4. Cfr.,
in merito, i principi affermati in giurisprudenza: Cass. 24 marzo 2003,
n. 4274; v. altresì Cass. 1° aprile 1999, n. 3136
5.
In merito v. di seguito il punto 9
6. Cfr.
art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg.
10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30
7. Come
già accade per i soggetti indicati al menzionato art. 1 della legge n.
12/1979
8. In
particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni
e integrazioni
9. Cfr.
circolare Ispesl 3 marzo 2003, n. 2260
10. In
tal senso, v. l'
autorizzazione generale n. 1/2005,
in rapporto al diverso titolo in base al quale il medico opera quale
libero professionista, o quale dipendente del datore di lavoro o di
aziende sanitarie locali.
11. La
cui violazione è peraltro penalmente sanzionata ai sensi dell'art. 92,
lett. a), d.lg. n. 626/1994
12. Cfr.
Provv. 21 luglio 2005, doc. web n.
1150679
13. Cfr.
Provv. 15 giugno 2006, docc. web nn.
1306523, 1306530 e 1306551
14. Cfr.
Provv. 23 novembre 2005, doc. web n.
1202254
15. Cfr.
Provv. 15 giugno 2006, doc. web n.
1306098; v., inoltre, Provv.
26 luglio 2006, doc. web n.
1318582
16. Cfr.
Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11
febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752
17.
Cfr., in relazione alla diffusione di informazioni in grado di rivelare
situazioni di handicap, Provv. 27 febbraio 2002, in
Boll. n. 25/2002, p. 51, doc. web n.
1063639
18. Cfr.
Provv. 11 dicembre 2000, doc. web n.
30991
19. Cfr.
Provv. 12 maggio 2005, doc. web n.
1137798
20. Cfr.,
con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su
documenti aventi la medesima funzione, Provv. 31
dicembre 1998, in Boll. n. 6, p. 100;
v. anche Provv. 19 febbraio 2002, doc. web n.
1063659
21. Cfr.
Provv. 7 luglio 2004, doc. web n.
1068839. V. pure il punto 50
della sentenza della Corte di giustizia delle Comunità europee, 6
novembre 2003, C-101/01, Lindqvist
22. Tra
le quali, ad esempio, la richiamata regolamentazione contenuta nel d.lg.
n. 626/1994 o nell'art. 5 della legge n. 300/1970 sugli accertamenti
sanitari facoltativi
23. Si
pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della legge 5
giugno 1990, n. 135, in materia Aids; art. 124 d.P.R. 9 ottobre 1990, n.
309
24. Cfr.
Provv. 15 aprile 2004, doc. web n.
1092564
25. Cfr. art.
2, d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1,
l. 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art. 1, l. 30
dicembre 2004, n. 311
26. Cfr.
di seguito al
punto 8
27. In
tal senso v. il Provv. 15 aprile 2004, doc. web n.
1092564
28. Cfr.
art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le pertinenti
disposizioni contenute nel d.lg. 26 marzo 2001, n. 151
29. V.
Provv. 28 settembre 2001, cit
30. V.
anche il
Parere 8/2001, cit., secondo il
quale "i lavoratori devono conoscere quali dati il datore di lavoro
stia raccogliendo sul loro conto (direttamente o da altre fonti), quali
siano gli scopi delle operazioni di trattamento previste o effettuate
per tali dati sia per il presente che per il futuro ".
31. Cfr.
Provv. 30 ottobre 2001, doc. web n.
39085
32. Parere
8/2001, cit.)
33. Cfr.
Provv. 27 luglio 2004, doc. web n.
1099386
34. Cfr.
Provv. 16 giugno 2005, doc. web n.
1149957
35. V.
già Provv. 7 marzo 2001, doc. web n.
40285; cfr. Provv. 15
novembre 2004, doc. web n.
1102939. Raccomandazione
n. 1/2001 concernente i dati
relativi alla valutazione del personale del Gruppo art. 29, Wp 42.
36. In
tal senso, con riguardo ad esempio alle mansioni proprie di un
determinato profilo professionale cfr. Provv. 29 ottobre 2003,
doc. web n.
1053781
37. In
tal senso cfr., in relazione ad informazioni personali conservate con
tecniche di cifratura, Provv. 21 novembre 2001, doc. web n.
39773
38. Cfr.
Provv. 17 febbraio 2005, doc. web n.
1148228, con il quale si è
dichiarato inammissibile un ricorso presentato a seguito di istanza
avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali
priva di sottoscrizione.
39. Cfr.
ad esempio Provv. 2 luglio 2003, doc. web n.
1079989; Provv. 24
giugno 2003, doc. web n.
1132725
40. Cfr.
Provv. 17 marzo 2005, doc. web n.
1170467
41. Cfr.
da ultimo Provv. 7 luglio 2005, doc. web n.
1149559; Provv. 16
giugno 2005, doc. web n.
1149999
42.
Provv. 16 ottobre 2002, doc. web n.
1066447
43. Cfr.
Provv. 25 novembre 2002, doc. web n.
1067321
44. Cfr.
Provv. 20 aprile 2005, doc. web n.
1134190; già Provv. 27
dicembre 2001, in Boll., 2001, n. 23, p. 72
45. Cfr.
Provv. 21 dicembre 2005, doc. web n. 1219039
46. Cfr.,
in relazione all'aggiornamento del dato relativo al titolo di studio,
Provv. 6 settembre 2002, doc. web n.
1066183
47. Cfr.,
in relazione all'aggiornamento delle informazioni relative al titolo di
studio, Provv. 9 gennaio 2003, doc. web n.
1067817 |
|
|