Nuove linee guida nel rapporto di lavoro privato per la protezione e trattamento dei dati personali
14 Dicembre 2006
Dal Garante arrivano perentorie istruzioni ai datori di lavoro perchè la privacy dei propri dipendenti sia maggiormente tutelata. Queste riguardano:
– il trattamento dei dati personali nella raccolta di informazioni tramite i sistemi di rilevazione biometrica;
– il corretto utilizzo dell’intranet aziendale;
– le modalità di diffusione e comunicazione di dati personali;
– la gestione dei cartellini identificativi;
– le misure di sicurezza per i dati sanitari;
– la denuncia all’Inail; le comunicazioni all’Inps
Il Garante si impegna, inoltre, a vigilare costantemente, e si riserva la facoltà di sottoporre tali linee guida, apparse sulla G.U. del 7 dicembre 2006, n. 285, a possibili
aggiornamenti periodici.
In altre parole, il Garante per la privacy ha adottato questa importante misura con lo scopo di effettuare un riepilogo e dettare in maniera chiara ed inequivocabile le regole sul diritto di
protezione dei dati personali dei lavoratori.
A tal riguardo il Garante ha ricordato che il Codice della Privacy ha lo scopo di limitare l’utilizzo dei dati di cui sopra al datore di lavoro e di impedire che siano utilizzati con
finalità diverse da quelle per le quali i medesimi sono stati raccolti.
Raccolta di dati tramite sistemi di rilevazione biometrica.
E’ illecito l’uso generalizzato e incontrollato di dati biometrici, ricavati dalle impronte digitali, perciò i titolari del suddetto trattamento dovranno adottare tutte le misure e gli
accorgimenti dettati dagli articoli 17, 154, comma 1, lettera c) e 167, comma 2, del Codice in materia di protezione dei dati personali.
L’utilizzo di questi dati può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati, in relazione ai luoghi di lavoro
e considerata la natura delle attività ivi svolte, come ad esempio: processi produttivi pericolosi o sottoposti a segreti di varia natura, o particolari locali destinati alla custodia di
beni, documenti segreti o riservati o oggetti di valore.
Nei casi in cui l’uso dei dati biometrici è consentito, la centralizzazione in una banca dati delle informazioni personali trattate risulta di regola sproporzionata e non necessaria,
quindi i sistemi informativi devono ridurre al minimo l’utilizzo di dati personali ed escluderne il trattamento quando le finalità perseguite non possono essere realizzate con
modalità tali da permettere di identificare l’interessato solo in caso di necessità.
Invece di modalità centralizzate, per il trattamento dei dati biometrici, ci si può avvalere di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura
delle impronte digitali memorizzate su un supporto posto nell’esclusiva disponibilità dell’interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative
riferibili a quest’ultimo.
Il Garante, inoltre, raccomanda che il riconoscimento effettuato con le modalità suddette possa garantire l’accesso all’area riservata solo a coloro che siano stati autorizzati
preventivamente e che il confronto delle impronte digitali con il modello memorizzato sulla carta o sul dispositivo sia realizzato ricorrendo a comuni procedure di confronto sulla carta o sul
dispositivo stesso, evitando così la costituzione di un archivio di delicati dati biometrici.
Comunicazione dei dati personali
E’ ammessa la conoscenza dei dati personali relativi ad un lavoratore da parte di terzi solo se l’interessato vi acconsente.
Qualora il datore di lavoro non possa avvalersi correttamente di uno degli altri presupposti al trattamento equivalenti al consenso, non può comunicare dati personali.
Resta salva, però, la facoltà del datore di lavoro di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili,
che possono acquisire la conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi.
Resta salva anche la facoltà del datore di lavoro di comunicare a terzi in forma anonima i dati ricavati dalle informazioni relative a singoli o a gruppi di lavoratori, come per esempio
il numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale, agli importi di premi aziendali di risultato individuati per fasce o qualifiche/livelli
professionali, anche nell’ambito di singole funzioni o unità organizzative.
Intranet aziendale
Perché sia lecito pubblicare informazioni personali di un lavoratore (quali fotografie, informazioni anagrafiche o curriculum) nella intranet aziendale (e a maggior ragione in Internet),
il consenso del soggetto è necessario, anzi indispensabile.
Diffusione di dati personali
I dati personali possono essere diffusi, solo se necessario, per dare esecuzione a obblighi derivanti dal contratto di lavoro come, ad esempio, quelli dell’affissione nella bacheca aziendale di
ordini di servizio, di turni lavorativi o feriali; oltre che di disposizioni riguardanti l’organizzazione del lavoro e l’individuazione delle mansioni cui sono deputati i singoli
dipendenti.
Non è invece lecito diffondere informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate
alla collettività dei lavoratori, specie se non correlate all’esecuzione di obblighi lavorativi.
La loro diffusione viola i principi di finalità e pertinenza, come nelle ipotesi di: affissione relativa a sanzioni disciplinari irrogate o informazioni relative a controversie
giudiziarie, assenze dal lavoro per malattia, iscrizione e/o adesione dei singoli lavoratori ad associazioni.
Cartellini identificativi
L’obbligo di portare in modo visibile un cartellino identificativo (appuntato ad esempio sull’abito o sulla divisa del lavoratore), allo scopo di migliorare il rapporto fra operatori ed utenti
o clienti, può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di
lavoro.
Nel rapporto con il pubblico, però, il Garante ha ravvisato un’eccedenza di dati personali identificativi sul cartellino, mentre spesso risultano sufficienti altre informazioni, quali
codici identificativi, il solo nome o il ruolo professionale svolto.
Dati sanitari
Il Garante ha raccomandato l’osservanza di cautele particolari nel trattamento dei dati sensibili del lavoratore e di quelli idonei a rivelarne lo stato di salute,
come le informazioni relative all’assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi.
Per tali informazioni l’ordinamento appresta, anche fuori dalla disciplina di protezione dei dati personali, particolari accorgimenti per contenere, nei limiti dell’indispensabile, i dati dei
quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto.
Assenze per ragioni di salute
Il Garante ha raccomandato anche l’osservanza di cautele per quanto riguarda il trattamento di dati idonei a rivelare lo stato di salute dei
lavoratori.
La normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermità (e talora a quelli inerenti all’esecuzione
di visite specialistiche o di accertamenti clinici) che determini un’incapacità lavorativa (temporanea o definitiva), con la conseguente sospensione o risoluzione del contratto.
Privacy categorie protette
Il datore di lavoro può trattare dati relativi a invalidità o all’appartenenza a categorie protette nei modi e per le finalità prescritte dalla vigente normativa.
Al riguardo il datore di lavoro e l’ente previdenziale hanno una duplice possibilità: da una parte possono controllare la certificazione della condizione di malattia perché sia
giustificato il trattamento normativo ed economico spettante al lavoratore, ma possono anche verificare le reali condizioni di salute del lavoratore tramite un’apposita modulistica, consistente
in un attestato di malattia che spetta al datore di lavoro con la sola indicazione dell’inizio e della durata presunta dell’infermità (c.d. «prognosi») e in un
certificato di diagnosi da consegnare, a cura del lavoratore stesso, all’Istituto nazionale della previdenza sociale o alla struttura pubblica indicata dallo stesso Istituto d’intesa con la
regione, se il lavoratore ha diritto a ricevere l’indennità di malattia a carico dell’ente previdenziale.
Denuncia all’Inail
La denuncia all’Inail per eventuali infortuni e malattie professionali occorsi al lavoratore deve essere corredata da specifica certificazione medica, ma, pur essendo legittima la conoscenza
della diagnosi da parte del datore di lavoro, resta fermo a suo carico l’obbligo di limitarsi a comunicare all’ente assistenziale esclusivamente le informazioni sanitarie relative o collegate
alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro.
Comunicazioni all’Inps
Il datore di lavoro deve comunicare solo le informazioni indispensabili a rivelare lo stato di salute dei lavoratori ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare
le prescritte indennità.
In particolare il datore di lavoro può comunicare all’Inps i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia e deve produrre, su
richiesta, dell’Inps, la documentazione in suo possesso.
Le eventuali visite di controllo sullo stato di infermità del lavoratore, ai sensi dell’art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell’Inps o della struttura sanitaria
pubblica da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.).
Informativa al lavoratore del responsabile del trattamento
Il datore di lavoro è tenuto a dare al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano, un’informativa individualizzata sulla persona responsabile del
trattamento.
Misure di sicurezza sui dati sanitari
Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice a
protezione dei dati personali dei dipendenti trattati nell’ambito del rapporto di lavoro, ponendo particolare attenzione all’eventuale natura sensibile dei medesimi.
Tali informazioni devono essere conservate separatamente da ogni altro dato personale dell’interessato. Ciò, deve trovare attuazione anche con riferimento ai fascicoli personali cartacei
dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare
separatamente o in modo da non consentirne un’indistinta consultazione nel corso delle ordinarie attività amministrative).
Al pari, nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa, il datore di lavoro non può utilizzare tali informazioni (art. 11, comma 2, del
Codice) e deve adottare gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo oscuramento
di tali informazioni); ciò, al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti non previamente designati come incaricati o responsabili.
Incaricati
Resta fermo l’obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori un apposito personale, specificamente incaricato del trattamento,
che «deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un’adeguata formazione degli addetti al trattamento dei
dati personali, il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito».
Misure fisiche ed organizzative
Il datore di lavoro deve adottare, tra l’altro, misure organizzative e fisiche idonee a garantire che: i luoghi ove si svolge il trattamento di dati
personali dei lavoratori siano opportunamente protetti da indebite intrusioni; le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da
escluderne l’indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati; siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza
del segreto d’ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali; sia prevenuta
l’acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali
da parte di soggetti non autorizzati; sia prevenuta l’involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti. Opportuni accorgimenti, ad esempio, devono
essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato
rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anziché all’interno di locali chiusi).
Diritto di accesso
I lavoratori interessati possono esercitare nei confronti del datore di lavoro i diritti previsti dall’art. 7 del Codice tra cui il diritto di accedere ai dati che li riguardano, di ottenerne
l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi
legittimi. La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a tutti i dati personali che
riguardano il lavoratore comunque trattati dall’amministrazione (art. 10) e può riguardare anche informazioni di tipo valutativo, alle condizioni e nei limiti di cui all’art. 8, comma 5.
Tra questi non rientrano notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a persone identificate o identificabili.
Riscontro del datore di lavoro
Il datore di lavoro destinatario della richiesta è tenuto a fornire un riscontro completo alla richiesta del lavoratore interessato, senza
limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso.
Tempestività del riscontro
Il riscontro deve essere fornito nel termine di 15 giorni dal ricevimento dell’istanza dell’interessato; il termine più lungo, pari a trenta giorni, può essere osservato, dandone
comunicazione all’interessato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art. 146 del Codice).
Pertanto il datore di lavoro, specie nelle realtà produttive di grande dimensione, deve predisporre procedure organizzative adeguate per dare piena attuazione alle disposizioni del
Codice in materia di accesso ai dati e all’esercizio degli altri diritti, anche attraverso l’impiego di appositi programmi finalizzati ad un’accurata selezione dei dati relativi a singoli
lavoratori, nonché alla semplificazione delle modalità e alla compressione dei tempi per il riscontro.
Modalità del riscontro
Il riscontro può essere fornito anche oralmente; tuttavia, in presenza di una specifica istanza, il datore di lavoro è tenuto a trasporre i dati su supporto cartaceo o informatico
o a trasmetterli all’interessato per via telematica (art. 10). Muovendo dalla previsione dell’art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre accorgimenti idonei
«a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente», può risultare legittima la richiesta dell’interessato di ricevere la
comunicazione dei dati in questione presso la propria sede lavorativa o la propria abitazione.
Dati personali e documentazione
Come più volte dichiarato dal Garante, l’esercizio del diritto di accesso consente di ottenere, ai sensi dell’art. 10 del Codice, solo la comunicazione dei dati personali relativi al
richiedente detenuti dal titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest’ultimo il diretto e illimitato accesso a documenti e ad intere
tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi o la loro innovativa aggregazione secondo specifiche modalità prospettate dall’interessato o, ancora,
di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su
supporto cartaceo: cfr. art. 10, comma 2, del Codice). Specie nei casi in cui è elevata la mole di informazioni personali detenute dal titolare del trattamento, il diritto di accesso ai
dati può essere soddisfatto mettendo a disposizione dell’interessato il fascicolo personale, dal quale successivamente possono essere estratte le informazioni personali.
La scelta circa l’eventuale esibizione o consegna in copia di atti e documenti contenenti i dati personali richiesti può essere effettuata dal titolare del trattamento nel solo caso in
cui l’estrapolazione dei dati personali da tali documenti risulti particolarmente difficoltosa per il titolare medesimo; devono essere poi omessi eventuali dati personali riferiti a terzi (art.
10, comma 4, del Codice). L’adozione di tale modalità di riscontro non comporta l’obbligo in capo al titolare di fornire copia di tutti i documenti che contengono i medesimi dati
personali dell’interessato, quando gli stessi dati siano conservati in più atti, lettere o note. Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli articoli 7 e 8
del Codice, il titolare del trattamento deve, poi, comunicare i dati richiesti ed effettivamente detenuti, e non è tenuto a ricercare o raccogliere altri dati che non siano nella propria
disponibilità e non siano oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o perchè originariamente trattati e non più disponibili, ovvero
perchè, come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un determinato datore di lavoro, non siano mai stati nell’effettiva e
libera disponibilità di quest’ultimo (si pensi al caso di dati contenuti nella corrispondenza intercorsa tra dipendenti) – al di là dei profili di tutela della segretezza della
corrispondenza che pur vengono in rilievo – non competerebbero le decisioni in ordine alle loro finalità e modalità di trattamento (cfr. art. 4, comma 1, lettera f), del Codice).
Aggiornamento
Infine, il lavoratore può ottenere l’aggiornamento dei dati personali a sé riferiti. In ordine, poi, all’eventuale richiesta di rettifica dei dati
personali indicati nel profilo professionale del lavoratore, la medesima può avvenire solo in presenza della prova dell’effettiva e legittima attribuzione delle qualifiche rivendicate
dall’interessato, ad esempio in base a «decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali
relativi all’interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell’applicazione della [disciplina di protezione dei dati personali], la richiesta
dell’interessato» (che può comunque far valere in altra sede, sulla base di idoneo materiale probatorio, la propria pretesa al riconoscimento della qualifica o mansione
rivendicata).
Provvedimento del Garante per la privacy 23 novembre 2006
Scarica il documento completo in formato .Pdf
