News

Sommario

1. Premessa

1.1. Scopo delle linee guida

1.2. Ambiti considerati

2. Il rispetto dei principi di protezione dei dati personali

2.1. Considerazioni generali

2.2. Liceita, pertinenza, trasparenza

2.3. Finalita

3. Titolare, responsabile e incaricati del trattamento

3.1. Corretta individuazione delle figure

3.2. Medico competente

4. Dati sensibili e rapporti di lavoro

5. Comunicazione di dati personali

5.1. Comunicazione

5.2. Rapporti con le organizzazioni sindacali

5.3. Modalita di comunicazione

6. Diffusione di dati personali

6.1. Dati relativi a concorsi e selezioni

6.2. Dati relativi all’organizzazione degli uffici, alla retribuzione e ai titolari di cariche e incarichi pubblici

6.3. Atti in materia di organizzazione degli uffici

6.4. Cartellini identificativi

7. Impronte digitali e accesso al luogo di lavoro

7.1. Principi generali

7.2. Casi particolari

8. Dati idonei a rivelare lo stato di salute

8.1. Dati sanitari

8.2. Assenze per ragioni di salute

8.3. Denuncia all’Inail

8.4. Visite medico legali

8.5. Abilitazione al porto d’armi e alla guida

8.6. Altre informazioni relative alla salute

9. Dati idonei a rivelare le convinzioni religiose

1. Premessa

1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori alle dipendenze di datori di lavoro pubblici, il Garante ravvisa l’esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto di precedenti decisioni dell’Autorita.

Le presenti linee guida seguono quelle adottate rispetto agli analoghi trattamenti effettuati da datori di

lavoro privati ⁽¹⁾, con le quali coincidono per molteplici aspetti che sono comunque riprodotti nel presente documento.

L’adozione di distinte linee guida per il settore pubblico deriva dall’esigenza di evidenziare, nel quadro della

tendenziale uniformita dei principi applicabili al rapporto di lavoro ⁽²⁾, alcune specificita che si pongono per i soggetti pubblici datori di lavoro (taluni presupposti del trattamento; speciali disposizioni che prevedono casi di necessaria comunicazione o diffusione di dati; situazioni particolari).

Come per il settore privato, le indicazioni fornite non pregiudicano l’applicazione delle disposizioni di legge o di regolamento che stabiliscono particolari divieti o limiti in relazione a taluni settori o a specifici casi di trattamento (artt. 113, 114 e 184, comma 3, del Codice).

1.2. Ambiti considerati. Le tematiche prese in considerazione si riferiscono, in particolare, alla comunicazione e alla diffusione di dati e al trattamento delle informazioni sensibili (in specie, di quelli idonei a rivelare lo stato di salute e le convinzioni religiose) o di dati biometrici relativi a lavoratori alle dipendenze di pubbliche amministrazioni.

2. Il rispetto dei principi di protezione dei dati personali
2.1. Considerazioni generali. Anche per i datori di lavoro pubblici il trattamento dei dati personali e disciplinato assicurando un livello elevato di tutela dei diritti e delle liberta fondamentali e conformando il medesimo trattamento ai principi di semplificazione, armonizzazione ed efficacia, sia per le modalita di

esercizio dei diritti, sia per l’adempimento degli obblighi da parte dei titolari del trattamento ⁽³⁾.

I lavoratori, nel rapporto con il proprio datore di lavoro pubblico, hanno diritto di ottenere che il trattamento dei dati effettuato mediante l’uso di tecnologie telematiche sia conformato al rispetto dei

predetti diritti e liberta ⁽⁴⁾.

Assume quindi particolare rilievo la necessita che i soggetti pubblici colgano l’occasione della progressiva introduzione di nuove tecniche rispetto alle modalita tradizionali di trattamento dei dati su base cartacea per valutare preventivamente come rendere efficienti i propri sistemi informativi, individuando forme adeguate di trattamento che tutelino appieno i lavoratori.

Le cautele e gli accorgimenti devono essere opportunamente graduati tenendo conto anche delle diverse forme del trattamento e della differente natura dei dati comuni e sensibili.

2.2. Liceita, pertinenza, trasparenza. Il datore di lavoro pubblico puo lecitamente trattare dati personali dei lavoratori nella misura in cui cio sia necessario per la corretta gestione del rapporto di lavoro, avendo cura di applicare le previsioni che riguardano le proprie funzioni istituzionali o il rapporto di lavoro, contenute in leggi, regolamenti, contratti e in accordi collettivi, in modo da avvalersi di informazioni personali e modalita di trattamento proporzionate ai singoli scopi.

Il Codice in materia di protezione dei dati personali, anche in attuazione di direttive comunitarie (nn. 95/46/ Ce e 2002/58/Ce), prescrive che il trattamento di dati personali per la gestione del rapporto di lavoro avvenga, in particolare:

.          rispettando i principi di necessita, di liceita e di qualita dei dati (artt. 3 e 11 del Codice);

.          attenendosi alle funzioni istituzionali e applicando i presupposti e i limiti previsti da leggi e regolamenti rilevanti per il trattamento, in particolare in materia di pubblico impiego (art. 18 del Codice);

.          dando applicazione effettiva e concreta al principio di indispensabilita nel trattamento dei dati sensibili e giudiziari, il quale vieta di trattare informazioni o di effettuare operazioni che non siano realmente indispensabili per raggiungere determinate finalita previste specificamente (artt. 4, comma 1, lett. d) ed e), 22, commi 3, 5 e 9, e 112 del Codice);

.          limitando il trattamento di dati sensibili e giudiziari alle sole informazioni ed operazioni di trattamento individuate e rese pubbliche con l’atto regolamentare adottato in conformita al parere del Garante (artt. 20, 21, 112 e 154 del Codice);

.          informando preventivamente e adeguatamente gli interessati (art. 13 del Codice);

.          adottando adeguate misure di sicurezza, idonee a preservare i dati da alcuni eventi tra cui accessi ed utilizzazioni indebiti, rispetto ai quali l’amministrazione puo essere chiamata a rispondere anche civilmente e penalmente (artt. 15 e 31 e ss. del Codice).

2.3. Finalita. Il trattamento dei dati personali, anche sensibili, riferibili ai lavoratori deve essere orientato in concreto all’esclusivo o prevalente scopo di adempiere agli obblighi e ai compiti in materia di rapporto di lavoro e di impiego alle dipendenze delle amministrazioni pubbliche.

Oltre alle leggi e ai regolamenti, anche i contratti collettivi (nazionali e integrativi) contengono alcune previsioni che permettono di trattare lecitamente informazioni di natura personale anche per cio che attiene all’attivita sindacale (ad esempio, per determinare il trattamento economico fondamentale ed accessorio, per fruire di permessi o di aspettative sindacali, per accedere a qualifiche, per la mobilita o per la responsabilita disciplinare).

Il trattamento effettuato dal soggetto pubblico deve attenersi in concreto a queste disposizioni e restare compatibile con le finalita per le quali i dati sono stati inizialmente raccolti o gia trattati (art. 11, comma 1, lett. b), del Codice).

Particolare attenzione deve essere posta alle disposizioni dei contratti collettivi che prevedono la conoscenza di dati da parte di organizzazioni sindacali, avendo cura che il doveroso rispetto degli obblighi di informativa, consultazione, concertazione e contrattazione che comportano la comunicazione di informazioni alle medesime organizzazioni avvenga nel rispetto dei principi di necessita e proporzionalita.

I soggetti pubblici potrebbero peraltro cogliere l’occasione dei rinnovi dei contratti collettivi per verificare l’attualita e la chiarezza di tali previsioni contrattuali, verificando anche la loro adeguatezza rispetto a casi che si verificano in concreto (si pensi al problema della contestuale iscrizione dei lavoratori a piu organizzazioni sindacali contestata da alcuna di esse).

In questo quadro occorre anche mantenere distinti i casi in cui e prevista specificamente la comunicazione solo di dati numerici aggregati da quelli in cui, in un’ottica di trasparenza e graduazione dell’accesso delle organizzazioni sindacali ad informazioni personali che risultino necessarie per verificare in conformita alla legge la concreta applicazione delle disposizioni del contratto collettivo da parte del datore di lavoro, e invece consentita (ed e giustificata in rapporto al caso concreto) la conoscenza di dati riferiti a singoli lavoratori.

In tale ottica, nell’ambito della disciplina contrattuale, si potrebbe pertanto prevedere di regola un accesso preliminare del sindacato a dati aggregati, riferiti all’intera struttura lavorativa o a singole unita organizzative ovvero a gruppi di lavoratori e, soltanto in presenza di successive anomalie o di specifiche esigenze di verifica, consentire (in casi espressamente previsti e circostanziati) all’organizzazione sindacale di conoscere anche informazioni personali relative a singoli o a gruppi di lavoratori. Cio sempreche, nel caso concreto, sia effettivamente necessario per dimostrare la corretta applicazione dei criteri pattuiti e la comunicazione sia limitata alle informazioni pertinenti e non eccedenti rispetto a tale scopo. Resta fermo che l’eventuale successivo trattamento illecito o non corretto delle informazioni acquisite da parte

dell’organizzazione sindacale si svolge nella sfera di responsabilita della medesima organizzazione ⁽⁵⁾.

3. Titolare, responsabile e incaricati del trattamento

3.1. Corretta individuazione delle figure. Resta importante individuare correttamente i soggetti che, a diverso titolo, possono trattare i dati nell’ambito della pubblica amministrazione "titolare" del trattamento ("incaricati"; eventuali "responsabili"), definendo chiaramente le rispettive attribuzioni (artt. 4, comma 1, lett. f), g) e h), 28, 29 e 30 del Codice).

Rinviando per brevita di esposizione ai numerosi pronunciamenti del Garante sul tema, giova ricordare che in linea di principio, per individuare il titolare del trattamento, occorre far riferimento all’amministrazione o ente centrale o locale nel suo complesso, anziche a singole articolazioni interne o alle persone fisiche che

l’amministrano o la rappresentano (ad esempio, il ministro, il direttore generale o il presidente) ⁽⁶⁾.

Nelle amministrazioni piu articolate, specie di grandi dimensioni o ramificate sul territorio, e possibile che alcune figure o unita organizzative siano dotate in conformita alla legge di poteri decisionali effettivamente del tutto autonomi riguardo ai trattamenti di dati personali. In tal caso, rispettando in concreto quanto previsto dal Codice (art. 28), tali articolazioni possono essere considerate lecitamente quali "titolari" autonomi o eventuali "contitolari del trattamento" (si pensi, ad esempio, ad una singola direzione generale o

area geografica di un’amministrazione ministeriale di particolare complessita organizzativa ⁽⁷⁾). Nel rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), le amministrazioni devono disciplinare le modalita del trattamento, designando gli eventuali soggetti responsabili e, in ogni caso, le persone fisiche incaricate, che possono acquisire lecitamente conoscenza dei dati inerenti alla gestione del rapporto di lavoro, attenendosi alle funzioni svolte e a idonee istruzioni scritte (artt. 4, comma 1, lett. g) e h), 29 e 30).

e, infatti, facolta delle amministrazioni designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilita in base all’organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati, sempreche ciascuno di questi dimostri l’esperienza, la capacita e l’affidabilita richieste dalla legge (art. 29 del Codice).

e necessario invece che ogni lavoratore sia preposto per iscritto, in qualita di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all’accesso e all’utilizzo delle informazioni personali di cui puo venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati puo essere effettuata nominativamente o, specie nell’ambito di strutture organizzative complesse, mediante atti di preposizione del lavoratore a unita organizzative per le quali venga altresi previamente individuato, per iscritto, l’ambito del trattamento consentito (art. 30 del Codice).

3.2. Medico competente. Anche il datore di lavoro pubblico deve svolgere alcuni trattamenti di dati in applicazione della disciplina in materia di igiene e sicurezza del lavoro (art. 1, commi 1 e 2, d.lg. n. 626/1994 e successive modificazioni e integrazioni).

Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nella cornice piu ampia delle misure necessarie a tutelare l’integrita psico-fisica dei lavoratori, pone direttamente in capo al medico competente in materia di igiene e sicurezza nei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlato trattamento dei dati contenuti in cartelle cliniche).

In questo ambito il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.

P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone l’aggiornamento) una cartella sanitaria e di rischio (in conformita alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies, 70, 72-undecies e 87 d.lg. n. 626/1994).

Detta cartella e custodita presso l’amministrazione "con salvaguardia del segreto professionale, e consegnata in copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (artt. 4, comma 8, e 17, comma 1, lett. d), d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all’Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (artt. 59-sexiesdecies, comma 4, 70, comma 4, 72-undecies, comma 3 e 87, comma 3, lett c),

d.lg. n. 626/1994), in originale e in busta chiusa ⁽⁸⁾.

In relazione a tali disposizioni, al medico competente e consentito trattare dati sanitari dei lavoratori anche mediante annotazione nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate. Cio, quale che sia il titolare del trattamento effettuato a cura del medico.

Alle predette cartelle il datore di lavoro non puo accedere, dovendo soltanto concorrere ad assicurarne un’efficace custodia nei locali dell’amministrazione (anche in vista di possibili accertamenti ispettivi da parte

dei soggetti istituzionalmente competenti) ma, come detto, "con salvaguardia del segreto professionale" ⁽⁹⁾.

Il datore di lavoro pubblico e tenuto, su parere del medico competente (o qualora quest’ultimo lo informi di anomalie imputabili all’esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati; in questo specifico contesto il datore di lavoro puo accedere al giudizio di idoneita del lavoratore

allo svolgimento di date mansioni, anziche alle specifiche patologie accertate ⁽¹⁰⁾.

Il medico puo farsi assistere da personale sanitario, anche dipendente dello stesso datore di lavoro pubblico, che deve essere designato quale incaricato del trattamento dei dati personali impartendo ad esso specifiche istruzioni per salvaguardare la segretezza delle informazioni trattate (art. 30 del Codice). In tal caso, a prescindere da quale sia il titolare del trattamento e dagli eventuali obblighi in tema di segreto d’ufficio, il medico competente deve predisporre misure idonee a garantire il rispetto del segreto professionale da parte dei propri collaboratori che non siano tenuti per legge al segreto professionale, mettendoli ad esempio a conoscenza di tali disposizioni e delle relative sanzioni (art. 10 del codice di deontologia medica del 16

dicembre 2006; art. 4 del codice deontologico per gli infermieri del maggio del 1999) ⁽¹¹⁾.

4. Dati sensibili e rapporto di lavoro

Le pubbliche amministrazioni devono adottare maggiori cautele se le informazioni personali sono idonee a rivelare profili particolarmente delicati della vita privata dei propri dipendenti quali la salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d’altro genere e l’origine razziale ed etnica (art. 4, comma 1, lett. d), del Codice).

In linea generale il datore di lavoro pubblico puo utilizzare informazioni sensibili relative al proprio personale in attuazione della normativa in materia di instaurazione e gestione di rapporti di lavoro di qualunque tipo, per finalita di formazione, nonche per concedere benefici economici e altre agevolazioni (artt. 112, 95 e 68 del Codice).

Come sopra ricordato, il datore di lavoro pubblico deve limitare il trattamento dei dati sensibili e giudiziari alle sole informazioni ed operazioni individuate e rese pubbliche con l’atto regolamentare adottato in

conformita al parere del Garante (artt. 20, 21, 112 e 154 del Codice) ⁽¹²⁾.

Nel perseguire tali finalita occorre comunque rispettare i principi di necessita e di indispensabilita che impongono di ridurre al minimo l’utilizzo di dati personali e, quando non si possa prescindere dall’uso di informazioni personali sensibili o giudiziarie, di trattare dati solo in riferimento ai tipi di dati e di operazioni indispensabili in relazione alla specifica finalita di gestione del rapporto di lavoro (artt. 3 e 22 del Codice).

Scaduto il termine transitorio del 28 febbraio 2007, il trattamento da parte di un soggetto pubblico che non sia previsto da tali fonti normative e ora illecito e, oltre all’inutilizzabilita dei dati trattati, puo comportare l’adozione di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2,

del Codice) ⁽¹³⁾.

Resta ferma la possibilita per le amministrazioni che non abbiano eventualmente adottato i necessari atti regolamentari entro il suddetto termine, di provvedervi comunque con sollecitudine, al fine rendere leciti i trattamenti dei dati sensibili e giudiziari.

5. Comunicazione di dati personali

5.1. Comunicazione. Specifiche disposizioni legislative o regolamentari individuano i casi in cui l’amministrazione pubblica e legittimata a comunicare informazioni che riguardano i lavoratori a terzi, soggetti pubblici o privati (art. 19 del Codice).

Quando manca una tale previsione specifica non possono essere quindi comunicati dati personali del dipendente (ad esempio, quelli inerenti alla circostanza di un’avvenuta assunzione, allo status o alla qualifica ricoperta, all’irrogazione di sanzioni disciplinari, a trasferimenti del lavoratore come pure altre informazioni contenute nei contratti individuali di lavoro) a terzi quali associazioni (anche di categoria), conoscenti, familiari e parenti.

Devono ritenersi in linea generale lecite le comunicazioni a terzi di informazioni di carattere sensibile relative ad uno o piu dipendenti, quando esse siano realmente indispensabili per perseguire le finalita di rilevante interesse pubblico connesse all’instaurazione e alla gestione di rapporti di lavoro da parte di soggetti pubblici di cui all’art. 112 del Codice. Tali comunicazioni possono avere ad oggetto dati individuati nei pertinenti atti regolamentari dell’amministrazione e che siano in concreto indispensabili, pertinenti e non eccedenti in rapporto ai compiti e agli adempimenti che incombono al soggetto pubblico in qualita di datore di lavoro in base alla normativa sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche

(artt. 20 e 22 del Codice) ⁽¹⁴⁾.

La disciplina di protezione dei dati consente inoltre al datore di lavoro pubblico di rendere conoscibili a terzi dati personali del dipendente in attuazione delle disposizioni che definiscono presupposti, modalita e limiti

per l’esercizio del diritto d’accesso a documenti amministrativi (contenenti dati personali) ⁽¹⁵⁾ o che prevedono un determinato regime di conoscibilita per talune informazioni (16), ovvero in virtu di una delega conferita dall’interessato.

Oltre a designare i soggetti che possono venire lecitamente a conoscenza dei dati inerenti alla gestione del rapporto di lavoro, quali incaricati o responsabili del trattamento, il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attivita di organizzazione e gestione del personale. In tali flussi di dati occorre evitare, in linea di principio, di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti, specie se riguardanti le condizioni di salute, selezionando le informazioni di

volta in volta indispensabili, pertinenti e non eccedenti (artt. 11 e 22 del Codice) ⁽¹⁷⁾.

A tal fine, puo risultare utile esplicitare delicate situazioni di disagio personale solo sulla base di espressioni generiche e utilizzando, in casi appropriati, codici numerici, come pure riportare tali informazioni -quale presupposto degli atti adottati- solo nei provvedimenti messi a disposizione presso gli uffici per eventuali interessati e controinteressati (limitandosi quindi a richiamarli anche nelle comunicazioni interne e indicando

gli estremi o un estratto del loro contenuto) ⁽¹⁸⁾.

5.2 Rapporti con le organizzazioni sindacali. Le pubbliche amministrazioni possono comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o a gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate nelle varie articolazioni organizzative, agli importi di trattamenti stipendiali o accessori individuati per fasce o qualifiche/ livelli professionali, anche nell’ambito di singole funzioni o unita organizzative.

Sulla base delle disposizioni dei contratti collettivi, i criteri generali e le modalita inerenti a determinati profili in materia di gestione del rapporto di lavoro sono oggetto di specifici diritti di informazione sindacale preventiva o successiva.

Ad esclusione dei casi in cui il contratto collettivo applicabile preveda espressamente che l’informazione sindacale abbia ad oggetto anche dati nominativi del personale per verificare la corretta attuazione di taluni

atti organizzativi ⁽¹⁹⁾, l’amministrazione puo fornire alle organizzazioni sindacali dati numerici o aggregati e non anche quelli riferibili ad uno o piu lavoratori individuabili ⁽²⁰⁾. e il caso, ad esempio, delle informazioni inerenti ai sistemi di valutazione dell’attivita dei dirigenti, alla ripartizione delle ore di straordinario e alle

relative prestazioni, nonche all’erogazione dei trattamenti accessori ⁽²¹⁾.

Resta disponibile per l’organizzazione sindacale anche la possibilita di presentare istanze di accesso a dati personali attinenti ad uno o piu lavoratori su delega o procura (art. 9, comma 2, del Codice), come pure la facolta di esercitare il diritto d’accesso a documenti amministrativi in materia di gestione del personale, nel rispetto delle condizioni, dei limiti e delle modalita previsti dalle norme vigenti e per salvaguardare un

interesse giuridicamente rilevante di cui sia portatore il medesimo sindacato (artt. 59 e 60 del Codice) ⁽²²⁾. Il rifiuto, anche tacito, dell’accesso ai documenti amministrativi, e impugnabile presso il tribunale amministrativo regionale, la Commissione per l’accesso presso la Presidenza del Consiglio dei ministri o il difensore civico (artt. 25 e ss. l. 7 agosto 1990, n. 241; art. 6 d.P.R. 12 aprile 2006, n. 184).

L’amministrazione puo anche rendere note alle organizzazioni sindacali informazioni personali relative alle ritenute effettuate a carico dei relativi iscritti, in conformita alle pertinenti disposizioni del contratto applicabile ⁽²³⁾ e alle misure di sicurezza previste dal Codice (artt. 31-35).

5.3. Modalita di comunicazione. Fuori dei casi in cui forme e modalita di divulgazione di dati personali siano regolate specificamente da puntuali previsioni (cfr. art. 174, comma 12, del Codice), l’amministrazione deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure piu opportune per prevenire la conoscibilita ingiustificata di dati personali, in particolare se sensibili, da parte di soggetti diversi dal destinatario, ancorche incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l’interessato a ritirare personalmente la documentazione presso l’ufficio competente; ricorrendo a comunicazioni telematiche individuali).

L’utilizzo del telefax come mezzo di comunicazione e consentito sebbene, in taluni casi, specifiche disposizioni prevedano apposite modalita di inoltro delle comunicazioni, come, ad esempio, nell’ambito di

procedimenti disciplinari ⁽²⁴⁾. Anche per il telefax si devono comunque adottare opportune cautele che favoriscano la conoscenza dei documenti da parte delle sole persone a cio legittimate.

6. Diffusione di dati personali

La diffusione di dati personali riferiti ai lavoratori puo avvenire quando e prevista espressamente da disposizioni di legge o di regolamento (artt. 4, comma 1, lett. m) e 19, comma 3, del Codice), anche mediante l’uso delle tecnologie telematiche (art. 3 d.lg. 7 marzo 2005, n. 82, recante il "Codice dell’amministrazione digitale" ).

A parte quanto eventualmente previsto sul piano normativo per specifiche categorie di atti, l’amministrazione, sulla base di apposite disposizioni regolamentari puo, infatti, valorizzare anche l’utilizzo di reti telematiche per mettere a disposizione atti e documenti contenenti dati personali (es. concorsi o a selezioni pubbliche) nel rispetto dei principi di necessita, pertinenza e non eccedenza (artt. 3 e 11, comma 1, lett. d), del Codice).

Occorre, poi, una specifica valutazione per selezionare le informazioni eventualmente idonee a rivelare lo stato di salute degli interessati, la cui diffusione e vietata (artt. 22, comma 8, del Codice). A tale divieto non e consentito derogare invocando generiche esigenze di pubblicita connesse alla trasparenza delle procedure in materia di organizzazione del personale e degli uffici, come quelle relative alla mobilita dei dipendenti

pubblici ⁽²⁵⁾. Non e ad esempio consentito diffondere i nominativi degli aventi diritto al collocamento obbligatorio contenuti in elenchi e graduatorie, atteso che il divieto di diffusione dei dati idonei a rivelare lo stato di salute e ribadito espressamente dal Codice anche in relazione allo svolgimento delle attivita di concessione di benefici ed agevolazioni previste dalla legge e dai regolamenti (art. 68, comma 3, del

Codice) ⁽²⁶⁾.

6.1 Dati relativi a concorsi e selezioni. Nel quadro delle attivita delle pubbliche amministrazioni si procede comunque, di regola, alla pubblicazione di graduatorie e di esiti di concorsi e selezioni pubbliche.

Ad esempio, le graduatorie dei vincitori di concorsi per accedere agli impieghi nelle pubbliche amministrazioni o per attribuire specifici incarichi professionali devono essere pubblicate nel bollettino ufficiale della Presidenza del Consiglio dei ministri o dell’amministrazione interessata, dandone, se previsto,

contestuale avviso sulla Gazzetta Ufficiale ⁽²⁷⁾. Un analogo regime di conoscibilita e previsto per le procedure di reclutamento dei professori universitari di ruolo e dei ricercatori, con riferimento alle informazioni contenute nelle relazioni riassuntive dei lavori svolti dalle commissioni giudicatrici per le

valutazioni comparative e negli annessi giudizi individuali e collegiali espressi sui candidati ⁽²⁸⁾.

La diffusione, che l’amministrazione puo lecitamente porre in essere in base a specifiche previsioni legislative o regolamentari, deve avere ad oggetto solo i dati personali pertinenti e non eccedenti ai fini del corretto espletamento della procedura concorsuale e della sua rispondenza ai parametri stabiliti nel bando (elenchi nominativi ai quali vengano abbinati i risultati di prove intermedie, elenchi degli ammessi alle prove scritte o orali, punteggi riferiti a singoli argomenti di esame; punteggi totali ottenuti).

Non risulta lecito riportare negli atti delle graduatorie da pubblicare altre tipologie di informazioni non pertinenti quali, ad esempio, recapiti di telefonia fissa o mobile o il codice fiscale

Con la chiusura delle scuole, anche quest’anno sono stati posti al Garante quesiti relativi all’uso di telecamere e macchine fotografiche da parte dei genitori in occasione di recite scolastiche o foto ricordo della classe dei propri figli.

Il Garante ribadisce quanto gia piu volte precisato: le riprese video e le fotografie raccolte dai genitori, durante recite e saggi scolastici, non violano la privacy.

 opportuno ricordare a presidi ed operatori scolastici che l’uso di videocamere o macchine fotografiche per documentare eventi scolastici e conservare ricordi dei propri figli non ha ovviamente niente a che fare con le norme sulla privacy.

Si tratta, infatti, di immagini non destinate a diffusione, ma raccolte per fini personali e destinate ad un ambito familiare o amicale: il loro uso quindi del tutto legittimo.

06/06/2007 - Garante Privacy

Non si puo condizionare la fornitura di servizi on line all’uso dei dati a fini di marketing. Il  Garante ha vietato  ad Enel S.p.a. di continuare ad utilizzare ai fini di marketing i dati personali di clienti, che sono risultati raccolti in modo non legittimo, e ha prescritto le misure necessarie per rendere il trattamento dei dati conforme alle norme sulla privacy.

L’intervento del Garante si e reso necessario dopo che alcuni cittadini avevano segnalato le modalita di registrazione al sito web della societa. Tramite il suo sito, infatti, l’Enel offriva una pluralita di servizi per la sottoscrizione dei quali richiedeva i dati degli interessati e di esprimere il consenso all’ uso. La richiesta di consenso, tuttavia, riguardava  non solo l’"autorizzazione" del cliente all’impiego dei propri dati personali per la fornitura di un determinato servizio, ma anche per l’ulteriore finalita di marketing. Il cliente che sottoscriveva il contratto si trovava, quindi, obbligato a dover manifestare anche un consenso a ricevere periodicamente messaggi di posta elettronica contenenti pubblicita, materiale promozionale, annunci interni, comunicazioni commerciali da parte di Enel. Le comunicazioni commerciali riguardavano anche prodotti e servizi di terzi.

La societa per un verso chiedeva, dunque,  un consenso  che, quando si tratta di eseguire obbligazioni derivanti da contratti, non e affatto necessario; per altro verso, condizionava l’esecuzione del contratto all’uso dei dati dei clienti anche per altri fini.

Con il provvedimento  di cui e stato relatore Giuseppe Chiaravalloti, l’Autorita ha, pertanto, vietato all’Enel di proseguire ad utilizzare per fini di marketing i dati raccolti secondo queste modalita e ha imposto precise misure per garantire ai clienti di poter esprimere liberamente il proprio consenso per l’utilizzo dei dati a fini di marketing, con modalita e in un ambito del tutto distinto da quello relativo al conferimento dei dati indispensabili per dare esecuzione al contratto. Enel dovra, inoltre, riformulare anche il modello di informativa ai clienti.

03/04/2007 - Garante Privacy

Le regole aziendali, il doppio indirizzo e-mail, il fiduciario, i siti non accessibili.

I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalita d’uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.
Il Garante privacy, con un provvedimento generale che sara pubblicato sulla Gazzetta Ufficiale, fornisce concrete indicazioni in ordine all’uso dei computer sul luogo di lavoro. La questione e particolarmente delicata afferma il relatore Mauro Paissan perche dall’analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori.
L’Autorita prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalita di utilizzo di Internet e della posta elettronica e sulla possibilita che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail cosi come il  monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perche cio realizzerebbe un controllo a distanza dell’attivita lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilita, prevista solo in casi limitatissimi, dell’analisi del contenuto della navigazione in Internet e dell’apertura di alcuni messaggi di posta elettronica contenenti dati necessari all’azienda.
Il provvedimento raccomanda l’adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l’uso di Internet e della posta elettronica.
Il datore di lavoro e inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, cosi da ridurre  controlli successivi sui lavoratori.  Per quanto riguarda Internet e opportuno ad esempio:

.          individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

.          utilizzare filtri che prevengano determinate operazioni, quali l’accesso a siti inseriti in una sorta  di black list o il download di file musicali o multimediali.

.          Per quanto riguarda la posta elettronica, e opportuno che l’azienda:

renda disponibili anche indirizzi condivisi tra piu lavoratori  (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo cosi chiara la natura non privata della corrispondenza;

valuti la possibilita di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare  il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l’ufficio, cio in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessita legate all’attivita lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualita. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole. Solo successivamente, ripetendosi l’anomalia, si potrebbe passare a controlli su base individuale.

Il Garante ha chiesto infine particolari misure di tutela in quelle realta lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

05/03/07 - Garante Privacy

Il Garante ha vietato ad una casa editrice di proseguire la "schedatura" di decine di migliaia di nominativi di neo mamme e neonati raccolti e utilizzati in modo illecito a fini di profilazione e marketing. La societa e risultata infatti inadempiente rispetto a numerose disposizioni del Codice della privacy.

La casa editrice, che pubblica alcuni periodici su tematiche relative alla gravidanza e alla prima infanzia, e finita sotto la lente del Garante dopo la segnalazione di una coppia che lamentava di aver ricevuto, senza consenso, riviste omaggio in occasione della nascita dei figli. Per promuovere i suoi prodotti la societa si avvaleva anche di "referenti" esterni alla stessa societa scelti tra medici e infermieri di strutture ospedaliere pubbliche o private che avevano il compito di distribuire coupon con i quali venivano raccolti una serie di dati (nome e cognome della mamma e del bambino, professione, data di nascita, numero di telefono ecc.). Per svolgere questo compito il personale ospedaliero era remunerato con regali di valore proporzionale al numero di nominativi raccolti.

Nel corso delle ispezioni disposte dal Garante sono stati accertati numerosi illeciti.

emerso infatti che i "referenti" svolgevano l’attivita di raccolta dei dati senza esserne formalmente incaricati, senza adottare particolari cautele a protezione dei dati e, per di piu, senza alcuna autorizzazione o convenzione con le strutture sanitarie. In alcuni casi compilavano direttamente  i coupon con i nominativi all’insaputa delle donne presenti in reparto.

I coupon, distribuiti anche presso studi ginecologici, pediatrici e farmacie sono risultati, tra l’altro, privi di una corretta informativa e formulati in modo da non consentire di manifestare validamente il consenso.

Il Garante, oltre all’uso dei dati, ha vietato alla casa editrice di effettuare altre operazione di raccolta e utilizzazione dei dati avvalendosi di "referenti" con modalita non conformi al Codice della privacy. La societa, inoltre, dovra riformulare l’informativa inserita nel coupon e nominare responsabili del trattamento le societa di cui si avvale per la gestione del data base e la ricerca dei dati a fini di marketing. Dovra infine adottare idonee procedure che le permettano di garantire un immediato e preciso riscontro alle richieste di accesso e cancellazione dei dati da parte degli interessati.

"Abbiamo  posto fine a questa  "caccia alle mamme"  e all’invasione della loro vita privata con pubblicita sgradita ha commentato Giuseppe Fortunato, relatore del provvedimento. Un evento felice non deve mai trasformarsi in un’occasione per promuovere prodotti e raccogliere dati su abitudini, scelte, consumi e propensione a spendere di donne ignare".

09/02/07 - Garante Privacy

Chieste piu forti misure di sicurezza e maggiori garanzie a tutela dei cittadini

Il  Garante privacy ha espresso i previsti pareri sui due schemi di provvedimento dell’Agenzia dell’entrate che attuano norme di legge approvate lo scorso anno relative alle modalita di comunicazione per via telematica dei dati dei cittadini italiani all’anagrafe tributaria, rispettivamente da parte degli istituti bancari e finanziari e da parte degli operatori del settore assicurativo.

I due provvedimenti riguardano misure tecniche e, nei pareri espressi, il Garante ha sottolineato la necessita che siano adottate rigorose misure di sicurezza, allo scopo di garantire una effettiva protezione dei dati ed evitare usi illeciti ed abusi. L’Autorita ha infatti richiesto che vengano tenute presenti le prescrizioni gia indicate nel parere del luglio 2006 riguardo a specifiche misure tecnologiche (chiavi asimmetriche, password, tracciatura degli accessi), ma soprattutto che vengano riviste le modalita di accesso telematico ai dati mediante l’utilizzo di credenziali di autenticazione per il personale incaricato.

"Nei provvedimenti ha affermato il relatore Giuseppe Fortunato l’Autorita ha ricordato le criticita manifestate a suo tempo al Parlamento sulle norme di legge attuate da tali provvedimenti contro l’evasione fiscale, come la creazione di nuovi archivi o la duplicazione presso l’anagrafe tributaria di banche dati gia previste da altre normative, o l’inserimento nell’anagrafe tributaria di informazioni sullo stato di salute dei cittadini, quali quelle riguardanti i beneficiari di somme di denaro erogate dalle assicurazioni (es. rimborso spese per degenza in strutture ospedaliere). La lotta all’evasione e un obiettivo importante, ma va raggiunto senza comprimere i diritti fondamentali dei cittadini".

Proprio riguardo alla trasmissione di dati relativi ai beneficiari di somme di denaro erogate dalle assicurazioni, l’Autorita ha ora specificato, in particolare, che i dati (somme liquidate, codice fiscale, partita Iva) devono essere conservati in una sezione separata dell’anagrafe tributaria e siano quindi consultabili solo a determinate condizioni.

17/01/07 - Garante Privacy

Applicazione di sanzioni amministrative, ulteriori ispezioni e, nei casi piu gravi, divieto del trattamento dei dati personali. Sono queste le misure che il Garante attivera nei confronti dei gestori telefonici e di aziende private per tutelare gli utenti dalle  continue telefonate di disturbo.

Restano purtroppo numerosi i cittadini che si rivolgono al Garante per lamentare l’offerta di servizi e prodotti prevalentemente da parte di societa telefoniche (linee veloci Internet, segreterie telefoniche, tariffe particolari, instradamento automatico della linea verso altro operatore), o che protestano per i continui disturbi arrecati alla loro vita privata da call center che li contattano, spesso negli orari meno opportuni, per proporre offerte commerciali.

Dopo una serie di interventi e l’indicazione delle regole per i nuovi elenchi telefonici, per arginare il fenomeno il Garante ha da ultimo adottato, nel marzo di quest’anno, un provvedimento a carattere generale con il quale ha prescritto ai gestori telefonici di attuare, entro maggio, specifiche misure per contrastare prassi illegittime come appunto l’attivazione di contratti, schede o servizi telefonici non richiesti dagli utenti e per evitare le telefonate di disturbo.

In particolare, veniva stabilito che i gestori telefonici e call center devono contattare persone solo se queste hanno manifestato un preventivo consenso a ricevere chiamate e comunicazioni promozionali (consenso indicato da appositi simboli sugli elenchi telefonici); devono sempre spiegare agli interessati da dove sono stati estratti i dati personali che li riguardano; devono rispettare la volonta degli utenti di non essere piu disturbati con offerte promozionali. Gli utenti possono comunque esigere di far cancellare i loro dati dal data base del call center nel quale siano stati indebitamente inseriti.
 
Sulla base delle segnalazioni pervenute, ma anche del monitoraggio effettuato dalla stessa Autorita in questi mesi, non risulta tuttavia che il fenomeno si sia significativamente ridotto.

Il Garante ha percio deciso una articolata serie di nuovi interventi. Innanzitutto proseguira sulla strada delle sanzioni amministrative nei casi di violazione, dopo le 20 sanzioni applicate di recente. Avviera poi, in collaborazione con la Guardia di Finanza, accertamenti ispettivi. E, nei casi in cui emergesse che societa telefoniche e call center raccolgono dati in violazione delle norme o contattano utenti in modo illecito (specie quando sia stata registrata la loro volonta di non esser piu disturbati), l’Autorita adottera anche provvedimenti di divieto del trattamento dei dati.

Il Garante si e riservato, infine, eventuali altre iniziative  riguardo le regole alle quali devono sottostare i call center affinche i diritti dei cittadini vengano pienamente rispettati.

28/12/06 - Garante Privacy

No ad archivi centralizzati per i dati biometrici, dati sanitari conservati in fascicoli separati, cartellini identificativi a prova di privacy, lavoratori informati sui loro diritti. Il Garante ha definito, per la prima volta in un quadro unitario, misure ed accorgimenti per disciplinare la raccolta e l’uso dei dati personali nella gestione del rapporto di lavoro. Il provvedimento generale, relatore Mauro Paissan, e stato adottato anche in seguito a numerose istanze di lavoratori, organizzazioni sindacali e imprese. A questo provvedimento ne seguiranno altri che affronteranno specifiche tematiche, come l’uso delle e-mail e la navigazione in Internet.

Queste in sintesi i punti principali delle linee guida.

Principi generali  
Il datore di lavoro puo trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che  puo trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.

Il lavoratore deve essere informato in modo puntuale sull’uso che verra fatto dei suoi dati e  gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore di lavoro e tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso

Cartellini identificativi, Intranet, bacheche aziendali
Nelle aziende private puo essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalita: a seconda dei casi puo bastare un codice identificativo o il solo nome o solo il ruolo professionale.

Senza consenso non si possono comunicare informazioni  ad associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti. Il consenso e necessario anche per pubblicare informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca aziendale possono essere affissi solo ordini di servizio,  turni lavorativi o feriali. Non si possono invece diffondere emolumenti percepiti,  sanzioni disciplinari, assenze per malattia, adesione ad associazioni.

Dati sanitari
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore  assente per malattia e tenuto a consegnare al proprio ufficio un  certificato senza la diagnosi ma con la sola indicazione dell’inizio e della durata presunta dell’infermita.  Il datore di lavoro non puo accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia  di infortuni o malattie professionali all’Inail, il datore di lavoro deve limitarsi a  comunicare solo le informazioni connesse alla patologia denunciata.

Dati biometrici

Non e lecito l’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali. L’uso puo essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad "aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati).  Anche quando l’uso e consentito non e ammessa la costituzione di banche dati centralizzate: e infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente.

13/12/06 - Garante Privacy

Linee guida in materia di trattamento di dati personali di
lavoratori per finalità di  gestione del rapporto di
lavoro alle dipendenze di datori di lavoro privati
(Deliberazione n. 53 del 23 novembre 2006)

SOMMARIO	p.
1.  Premessa	2
1.1. Scopo delle linee guida	2
1.2. Ambiti considerati	2
2.  Il rispetto dei principi di protezione dei dati personali	3
2.1. Liceità, pertinenza, trasparenza	3
2.2. Finalità	4
3. Titolare e responsabile del trattamento	4
3.1. Titolare e responsabile	4
3.2. Gruppi di imprese	5
3.3. Medico competente	5
4. Dati biometrici e accesso ad "aree riservate"	7
4.1. Nozione	7
4.2. Sistemi di rilevazione biometrica	7
4.3. Misure di sicurezza e tempi di conservazione	8
4.4. Verifica preliminare	8
5. Comunicazione e diffusione di dati personali	9
5.1. Comunicazione	9
5.2. Intranet aziendale	9
5.3. Diffusione	10
5.4. Cartellini identificativi	10
5.5. Modalità di comunicazione	11
6. Dati idonei a rivelare lo stato di salute di lavoratori	11
6.1. Dati sanitari	11
6.2. Assenze per ragioni di salute	12
6.3. Denuncia all’Inail	13
6.4. Altre informazioni relative alla salute	13
6.5. Comunicazioni all’Inps	13
7. Informativa	14
8. Misure di sicurezza	14
8.1. Dati sanitari	15
8.2. Incaricati	15
8.3. Misure fisiche ed organizzative	15
9. Esercizio dei diritti previsti dall’art. 7 del Codice e riscontro del datore di lavoro	16
9.1. Diritto di accesso	16
9.2. Riscontro del datore di lavoro	17
9.3. Tempestività del riscontro	17
9.4. Modalità del riscontro	17
9.5. Dati personali e documentazione	18
9.6. Aggiornamento	19

 

 1. Premessa

1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati il Garante ravvisa l’esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto, altresì, di precedenti decisioni dell’Autorità.

Le indicazioni fornite non pregiudicano l’applicazione delle disposizioni di legge o di regolamento che stabiliscono divieti o limiti più restrittivi in relazione a taluni settori o a specifici casi di trattamento di dati (artt. 113, 114 e 184, comma 3, del Codice)  ¹.

 1.2. Ambiti considerati.  Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei dati, all’informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il diritto d’accesso.

Le operazioni di trattamento riguardano per lo più:

• dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;
• informazioni più strettamente connesse allo svolgimento dell’attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti "ad personam"; l’ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.

I medesimi dati sono:

• contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, questa Autorità si è già pronunciata  ²   o nel corso del rapporto di lavoro;
• contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali  ³;
• resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.

 

 2. Il rispetto dei principi di protezione dei dati personali

2.1. Liceità, pertinenza, trasparenza. Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.

In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.

In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive che il trattamento di dati personali avvenga:

• nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11);
• informando preventivamente e adeguatamente gli interessati (art. 13);
• chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
• rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27 del Codice; cfr., in particolare, l’autorizzazione generale n.  1/2005);
• adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del Codice).

 2.2. Finalità.  Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l’esatto adempimento della prestazione o commisurare l’importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza).

Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali).

Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett. b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.

 

 3. Titolare e responsabile del trattamento

3.1. Titolare e responsabile. Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento (artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice).
In linea di principio, per individuare il titolare del trattamento rileva l’effettivo centro di imputazione del rapporto di lavoro, al di là dello schema societario formalmente adottato  ⁴.
Peraltro, specie nelle realtà imprenditoriali più articolate, questa identificazione può risultare non sempre agevole e tale circostanza costituisce in qualche caso un ostacolo anche per l’esercizio dei diritti di cui all’art. 7  ⁵.

 3.2. Gruppi di imprese.  Le società che appartengono a gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; d.lg. 2 aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori (artt. 4, comma 1, lett. f) e 28 del Codice).

Tuttavia, nell’ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge  ⁶: tale attività implica la designazione della società capogruppo quale responsabile del trattamento ai sensi dell’art. 29 del Codice   ⁷.

Analoga soluzione (art. 31, comma 2, d.lg. n. 276/2003) deve essere adottata per i trattamenti di dati personali, aventi identica natura, effettuati nell’ambito dei consorzi di società cooperative (nei quali a tal fine può essere altresì designata una delle società consorziate).

 3.3. Medico competente. Considerazioni ulteriori devono essere svolte in relazione a taluni specifici trattamenti che possono o devono essere effettuati all’interno dell’impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro  ⁸.

Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nell’ambito del più generale quadro di misure necessarie a tutelare l’integrità psico-fisica dei lavoratori (art. 2087 cod. civ.), pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlativo trattamento dei dati contenuti in cartelle cliniche).

In quest’ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone l’aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies e 70 d.lg. n. 626/1994).

Detta cartella è custodita presso l’azienda o l’unità produttiva, "con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (art. 4, comma 8, d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all’Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in originale e in busta chiusa  ⁹.

In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico  ¹⁰.

Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un’efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, "con salvaguardia del segreto professionale"   ¹¹.

Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili all’esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l’idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni.

In tal senso, peraltro, depongono anche le previsioni legislative che dispongono la comunicazione all’Ispesl della cartella sanitaria e di rischio in caso di cessione (art. 59-sexiesdecies, comma 4, d.lg. n. 626/1994) o cessazione del rapporto di lavoro (art. 72-undecies d.lg. n. 626/1994), precludendosi anche in tali occasioni ogni loro conoscibilità da parte del datore di lavoro.

 4. Dati biometrici e accesso ad "aree riservate"

4.1. Nozione. In più circostanze, anche ricorrendo al procedimento previsto dall’art. 17 del Codice, è stato prospettato al Garante l’utilizzo di dati biometrici sul luogo di lavoro  ¹², con particolare riferimento all’impiego di tali informazioni per accedere ad aree specifiche dell’impresa.

Si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest’ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all’identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto.

L’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare natura, richiedono l’adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l’abusiva "ricostruzione" dell’impronta, partendo dal modello di riferimento, e la sua ulteriore "utilizzazione" a loro insaputa.

L’utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi    ¹³ o sottoposti a segreti di varia natura  ¹⁴ o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore  ¹⁵.

 4.2. Sistemi di rilevazione biometrica . Inoltre, nei casi in cui l’uso dei dati biometrici è consentito, la centralizzazione in una banca dati delle informazioni personali (nella forma del predetto modello) trattate nell’ambito del descritto procedimento di riconoscimento biometrico risulta di regola sproporzionata e non necessaria. I sistemi informativi devono essere infatti configurati in modo da ridurre al minimo l’utilizzazione di dati personali e da escluderne il trattamento, quando le finalità perseguite possono essere realizzate con modalità tali da permettere di identificare l’interessato solo in caso di necessità (artt. 3 e 11 del Codice).

In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici, deve ritenersi adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello cifrato, su un supporto posto nell’esclusiva disponibilità dell’interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative riferibili a quest’ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale).

Tale modalità di riconoscimento, infatti, è idonea ad assicurare che possano accedere all’area riservata solo coloro che, autorizzati preventivamente, decidano su base volontaria di avvalersi della predetta carta o del dispositivo analogo. Il confronto delle impronte digitali con il modello memorizzato sulla carta o sul dispositivo può essere realizzato ricorrendo a comuni procedure di confronto sulla carta o dispositivo stesso, evitando così la costituzione di un archivio di delicati dati biometrici. Del resto, in caso di smarrimento della carta o dispositivo, sono allo stato circoscritte le possibilità di abuso rispetto ai dati biometrici ivi memorizzati.

 4.3. Misure di sicurezza e tempi di conservazione. I dati personali necessari per realizzare il modello possono essere trattati esclusivamente durante la fase di registrazione; per il loro utilizzo, il titolare del trattamento deve raccogliere il preventivo consenso informato degli interessati.

In aggiunta alle misure di sicurezza minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a protezione dei dati, impartendo agli incaricati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle carte o dispositivi loro affidati.

I dati memorizzati devono essere accessibili al personale preposto al rispetto delle misure di sicurezza all’interno dell’impresa, per l’esclusiva finalità della verifica della loro osservanza (rispettando peraltro la disciplina sul controllo a distanza dei lavoratori: art. 4, comma 2, l. 20 maggio 1970, n. 300, richiamato dall’art. 114 del Codice).

I dati raccolti non possono essere di regola conservati per un arco di tempo superiore a sette giorni e vanno assicurati, anche quando tale arco temporale possa essere lecitamente protratto, idonei meccanismi di cancellazione automatica dei dati.

 4.4. Verifica preliminare. Resta salva, per fattispecie particolari o in ragione di situazioni eccezionali non considerate in questa sede, la presentazione da parte di titolari del trattamento che intendano discostarsi dalle presenti prescrizioni, di apposito interpello al Garante, ai sensi dell’art. 17 del Codice.

 

 5. Comunicazione e diffusione di dati personali

5.1. Comunicazione. La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l’interessato vi acconsente.

Se il datore di lavoro non può avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso (art. 24 del Codice), non può prescindersi dal consenso stesso per comunicare dati personali (ad esempio, inerenti alla circostanza di un’avvenuta assunzione, allo status o alla qualifica ricoperta, all’irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali:

• associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione);
• conoscenti, familiari e parenti.

Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr.  punto 2), rimane impregiudicata la facoltà del datore di lavoro di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30). Ciò, ove necessario, anche mediante consegna di copia di documenti all’uopo predisposti.

È altresì impregiudicata la facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all’interno di singole unità produttive, agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche nell’ambito di singole funzioni o unità organizzative).

 5.2. Intranet aziendale. Allo stesso modo, il consenso del lavoratore è necessario per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in Internet), non risultando tale ampia circolazione di dati personali di regola "necessaria per eseguire obblighi derivanti dal contratto di lavoro " (art. 24, comma 1, lett. b), del Codice). Tali obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a volte risultare pertinente (specie in realtà produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del singolo dipendente, salva specifica disposizione di legge.

 5.3. Diffusione. In assenza di specifiche disposizioni normative che impongano al datore di lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24, comma 1, lett. a) o la autorizzino, o comunque di altro presupposto ai sensi dell’art. 24 del Codice, la diffusione stessa può avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lett. b) del Codice). È il caso, ad esempio, dell’affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l’organizzazione del lavoro e l’individuazione delle mansioni cui sono deputati i singoli dipendenti  ¹⁶.

Salvo che ricorra una di queste ipotesi, non è invece di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se non correlate all’esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come nelle ipotesi di:

• affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali   ¹⁷;
• sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie;
• assenze dal lavoro per malattia;
• iscrizione e/o adesione dei singoli lavoratori ad associazioni.

 5.4. Cartellini identificativi. Analogamente, si possono determinare altre forme di diffusione di dati personali quando dette informazioni debbano essere riportate ed esibite su cartellini identificativi appuntati ad esempio sull’abito o sulla divisa del lavoratore (di solito, con lo scopo di migliorare il rapporto fra operatori ed utenti o clienti).

Al riguardo, questa Autorità ha già rilevato  ¹⁸, in relazione allo svolgimento del rapporto di lavoro alle dipendenze di soggetti privati, che l’obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto con il pubblico, si è ravvisata la sproporzione dell’indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici), ben potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sé sole in grado di essere d’ausilio all’utenza.

 5.5. Modalità di comunicazione. Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni (cfr. art. 174, comma 12, del Codice) ¹⁹, il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire un’indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario, ancorché incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l’interessato a ritirare personalmente la documentazione presso l’ufficio competente; ricorrendo a comunicazioni telematiche individuali).

Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano desumersi vicende personali  ²⁰.

 6. Dati idonei a rivelare lo stato di salute di lavoratori

6.1. Dati sanitari. Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lett. d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l’informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi  ²¹.
Per tali informazioni, l’ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per contenere, nei limiti dell’indispensabile, i dati dei quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto (cfr. già l’art. 8 della legge n. 300/1970).

In questo contesto, la disciplina generale contenuta nel Codice deve essere coordinata ed integrata, come si è visto (cfr.  punto 3.3.), con altre regole settoriali  ²² o speciali  ²³.
Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5, del Codice).

 6.2. Assenze per ragioni di salute. Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermità (e talora a quelli inerenti all’esecuzione di visite specialistiche o di accertamenti clinici) che determini un’incapacità lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione del contratto). Non diversamente, il datore di lavoro può trattare dati relativi a invalidità o all’appartenenza a categorie protette, nei modi e per le finalità prescritte dalla vigente normativa in materia.

A tale riguardo, infatti, sussiste un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell’ente previdenziale della condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di legge  ²⁴, di verificare le reali condizioni di salute del lavoratore.

Per attuare tali obblighi viene utilizzata un’apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro –con la sola indicazione dell’inizio e della durata presunta dell’infermità: c.d. "prognosi"– e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, all’Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d’intesa con la regione, se il lavoratore ha diritto a ricevere l’indennità di malattia a carico dell’ente previdenziale  ²⁵.

Tuttavia, qualora dovessero essere presentati dai lavoratori certificati medici redatti su modulistica diversa da quella sopra descritta, nella quale i dati di prognosi e di diagnosi non siano separati, i datori di lavoro restano obbligati, ove possibile, ad adottare idonee misure e accorgimenti volti a prevenirne la ricezione o, in ogni caso, ad oscurali  ²⁶.

 6.3. Denuncia all’Inail. Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro può anche venire a conoscenza delle condizioni di salute del lavoratore.

Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all’Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).

In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l’obbligo di limitarsi a comunicare all’ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non pertinente –con la conseguente loro inutilizzabilità–, trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice)  ²⁷.

 6.4. Altre informazioni relative alla salute. A tali fattispecie devono essere aggiunti altri casi nei quali può, parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap  ²⁸.

Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l’onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell’art. 124, commi 1 e 2, d.P.R. n. 309/1990).

 6.5. Comunicazioni all’Inps. È altresì legittima la comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennità in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni indispensabili.

In particolare, il datore di lavoro può comunicare all’Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, l. 20 maggio 1970, n. 300)  ²⁹; a tal fine deve tenere a disposizione e produrre, a richiesta, all’Inps, la documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermità del lavoratore, ai sensi dell’art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell’Inps o della struttura sanitaria pubblica da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.).

7. Informativa

Il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un’informativa individualizzata completa degli elementi indicati dall’art. 13 del Codice  ³⁰.

Con particolare riferimento a realtà produttive nelle quali, per ragioni organizzative (ad esempio, per l’articolata dislocazione sul territorio o per il ricorso consistente a forme di out-sourcing) o dimensionali, può risultare difficoltoso per il singolo lavoratore esercitare i propri diritti ai sensi dell’art. 7 del Codice, è opportuna la designazione di un responsabile del trattamento appositamente deputato alla trattazione di tali profili (o di responsabili esterni alla società, che effettuino, ad esempio, l’attività di gestione degli archivi amministrativi dei dipendenti), indicandolo chiaramente nell’informativa fornita.

 8. Misure di sicurezza

8.1. Dati sanitari. Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali dei dipendenti comunque trattati nell’ambito del rapporto di lavoro, ponendo particolare attenzione all’eventuale natura sensibile dei medesimi (art. 31 ss. e  Allegato B) al Codice).

Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell’interessato; ciò, deve trovare attuazione anche con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative  ³¹).

Del pari, nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella descritta al  punto 6.2., il datore di lavoro non può, comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve adottare gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo oscuramento di tali informazioni); ciò, al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti non previamente designati come incaricati o responsabili (art. 31 e ss. del Codice).

 8.2. Incaricati. Resta fermo l’obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento, che "deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un’adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito"  ³².

 8.3. Misure fisiche ed organizzative. Il datore di lavoro deve adottare, tra l’altro (cfr. artt. 31 ss. del Codice), misure organizzative e fisiche idonee a garantire che:

• i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni;
• le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l’indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati;
• siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d’ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali;
• sia prevenuta l’acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati  ³³;
• sia prevenuta l’involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anziché all’interno di locali chiusi).

 9. Esercizio dei diritti previsti dall’art. 7 del Codice e riscontro del datore di lavoro

9.1. Diritto di accesso. I lavoratori interessati possono esercitare nei confronti del datore di lavoro i diritti previsti dall’art. 7 del Codice (nei modi di cui agli artt. 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano (anziché, in quanto tale, all’intera documentazione che li contiene  ³⁴), di ottenerne l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi.

La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a tutti i dati personali che riguardano il lavoratore comunque trattati dall’amministrazione (art. 10) e può riguardare anche informazioni di tipo valutativo  ³⁵, alle condizioni e nei limiti di cui all’art. 8, comma 5.

Tra essi non rientrano notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a persone identificate o identificabili  ³⁶.

 9.2. Riscontro del datore di lavoro. Il datore di lavoro destinatario della richiesta è tenuto a fornire un riscontro completo alla richiesta del lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso  ³⁷.

 9.3. Tempestività del riscontro. Il riscontro deve essere fornito nel termine di 15 giorni dal ricevimento dell’istanza dell’interessato (ritualmente presentata  ³⁸ ); il termine più lungo, pari a 30 giorni, può essere osservato, dandone comunicazione all’interessato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art. 146 del Codice).

Pertanto il datore di lavoro, specie nelle realtà produttive di grande dimensione  ³⁹, deve pertanto predisporre procedure organizzative adeguate per dare piena attuazione alle disposizioni del Codice in materia di accesso ai dati e all’esercizio degli altri diritti, anche attraverso l’impiego di appositi programmi finalizzati ad una accurata selezione dei dati relativi a singoli lavoratori, nonché alla semplificazione delle modalità e alla compressione dei tempi per il riscontro.

 9.4. Modalità del riscontro. Il riscontro può essere fornito anche oralmente; tuttavia, in presenza di una specifica istanza, il datore di lavoro è tenuto a trasporre i dati su supporto cartaceo o informatico o a trasmetterli all’interessato per via telematica (art. 10).

Muovendo dalla previsione dell’art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre accorgimenti idonei "a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente", può risultare legittima la richiesta dell’interessato di ricevere la comunicazione dei dati in questione presso la propria sede lavorativa o la propria abitazione  ⁴⁰.

 9.5. Dati personali e documentazione. Come più volte dichiarato dal Garante  ⁴¹, l’esercizio del diritto di accesso consente di ottenere, ai sensi dell’art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest’ultimo il diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi, o la loro innovativa aggregazione secondo specifiche modalità prospettate dall’interessato o, ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del Codice).

Specie nei casi in cui è elevata la mole di informazioni personali detenute dal titolare del trattamento, il diritto di accesso ai dati può essere soddisfatto mettendo a disposizione dell’interessato il fascicolo personale ⁴², dal quale successivamente possono essere estratte le informazioni personali.

La scelta circa l’eventuale esibizione o consegna in copia di atti e documenti contenenti i dati personali richiesti può essere effettuata dal titolare del trattamento nel solo caso in cui l’estrapolazione dei dati personali da tali documenti risulti particolarmente difficoltosa per il titolare medesimo  ⁴³; devono essere poi omessi eventuali dati personali riferiti a terzi (art. 10, comma 4, del Codice)  ⁴⁴. L’adozione di tale modalità di riscontro non comporta l’obbligo in capo al titolare di fornire copia di tutti i documenti che contengano i medesimi dati personali dell’interessato, quando gli stessi dati siano conservati in più atti, lettere o note.

Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli artt. 7 e 8 del Codice, il titolare del trattamento deve, poi, comunicare i dati richiesti ed effettivamente detenuti, e non è tenuto a ricercare o raccogliere altri dati che non siano nella propria disponibilità e non siano oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o perché originariamente trattati e non più disponibili, ovvero perché, come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un determinato datore di lavoro, non siano mai stati nell’effettiva e libera disponibilità di quest’ultimo (si pensi al caso di dati contenuti nella corrispondenza intercorsa tra dipendenti  ⁴⁵ ) –al di là dei profili di tutela della segretezza della corrispondenza che pur vengono in rilievo–, non competerebbero le decisioni in ordine alle loro finalità e modalità di trattamento (cfr. art. 4, comma 1, lett. f), del Codice).

 9.6. Aggiornamento. Infine, il lavoratore può ottenere l’aggiornamento dei dati personali a sé riferiti  ⁴⁶.
In ordine, poi, all’eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima può avvenire solo in presenza della prova dell’effettiva e legittima attribuibilità delle qualifiche rivendicate dall’interessato, ad esempio in base a "decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali relativi all’interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell’applicazione della [disciplina di protezione dei dati personali], la richiesta dell’interessato" (che può comunque far valere in altra sede, sulla base di idoneo materiale probatorio, la propria pretesa al riconoscimento della qualifica o mansione rivendicata)  ⁴⁷.

NOTE:
 1. Le indicazioni rese tengono altresì conto, per i profili esaminati, della Raccomandazione n. R (89) 2 del Consiglio d’Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell’occupazione, del Parere 8/2001sul trattamento dei dati personali nel contesto dell’occupazione, reso il 13 settembre 2001 dal Gruppo dei Garanti europei, in http://ec.europa.eu e del Code of practice, "Protection of workers’ personal data ", pubblicato dall’Organizzazione internazionale del lavoro (ILO).
 2. Cfr. Provv. 10 gennaio 2002, inhttp://www.garanteprivacy.it, doc. web n.  1064553
 3. Cfr. Provv. 23 aprile 2002, doc. web n.  1065065
 4. Cfr., in merito, i principi affermati in giurisprudenza: Cass. 24 marzo 2003, n. 4274; v. altresì Cass. 1° aprile 1999, n. 3136
 5. In merito v. di seguito il  punto 9
 6. Cfr. art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg. 10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30
 7. Come già accade per i soggetti indicati al menzionato art. 1 della legge n. 12/1979
 8. In particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni e integrazioni
 9. Cfr. circolare Ispesl 3 marzo 2003, n. 2260
 10. In tal senso, v. l’ autorizzazione generale n. 1/2005, in rapporto al diverso titolo in base al quale il medico opera quale libero professionista, o quale dipendente del datore di lavoro o di aziende sanitarie locali.
 11. La cui violazione è peraltro penalmente sanzionata ai sensi dell’art. 92, lett. a), d.lg. n. 626/1994
 12. Cfr. Provv. 21 luglio 2005, doc. web n.  1150679
 13. Cfr. Provv. 15 giugno 2006, docc. web nn.  1306523, 1306530 e 1306551
  14. Cfr. Provv. 23 novembre 2005, doc. web n.  1202254
 15. Cfr. Provv. 15 giugno 2006, doc. web n.  1306098; v., inoltre, Provv. 26 luglio 2006, doc. web n.  1318582
 16. Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11 febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752
 17. Cfr., in relazione alla diffusione di informazioni in grado di rivelare situazioni di handicap, Provv. 27 febbraio 2002, in Boll. n. 25/2002, p. 51, doc. web n.  1063639
 18. Cfr. Provv. 11 dicembre 2000, doc. web n.  30991
 19. Cfr. Provv. 12 maggio 2005, doc. web n.  1137798
 20. Cfr., con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su documenti aventi la medesima funzione, Provv. 31 dicembre 1998, in Boll. n. 6, p. 100; v. anche Provv. 19 febbraio 2002, doc. web n.  1063659
 21. Cfr. Provv. 7 luglio 2004, doc. web n.  1068839. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunità europee, 6 novembre 2003, C-101/01, Lindqvist
 22. Tra le quali, ad esempio, la richiamata regolamentazione contenuta nel d.lg. n. 626/1994 o nell’art. 5 della legge n. 300/1970 sugli accertamenti sanitari facoltativi
 23. Si pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della legge 5 giugno 1990, n. 135, in materia Aids; art. 124 d.P.R. 9 ottobre 1990, n. 309
 24. Cfr. Provv. 15 aprile 2004, doc. web n.  1092564 
25. Cfr. art. 2, d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l’art. 1, l. 29 febbraio 1980, n. 33 e mod. dal comma 149 dell’art. 1, l. 30 dicembre 2004, n. 311
 26. Cfr. di seguito al  punto 8
 27. In tal senso v. il Provv. 15 aprile 2004, doc. web n.  1092564
 28. Cfr. art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le pertinenti disposizioni contenute nel d.lg. 26 marzo 2001, n. 151
 29. V. Provv. 28 settembre 2001, cit
 30. V. anche il Parere 8/2001, cit., secondo il quale "i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro ".
 31. Cfr. Provv. 30 ottobre 2001, doc. web n.  39085
 32. Parere 8/2001, cit.)
 33. Cfr. Provv. 27 luglio 2004, doc. web n.  1099386
 34. Cfr. Provv. 16 giugno 2005, doc. web n.  1149957
 35. V. già Provv. 7 marzo 2001, doc. web n.  40285; cfr. Provv. 15 novembre 2004, doc. web n.  1102939. Raccomandazione  n. 1/2001 concernente i dati relativi alla valutazione del personale del Gruppo art. 29, Wp 42.
 36. In tal senso, con riguardo ad esempio alle mansioni proprie di un determinato profilo professionale cfr. Provv. 29 ottobre 2003, doc. web n.  1053781
 37. In tal senso cfr., in relazione ad informazioni personali conservate con tecniche di cifratura, Provv. 21 novembre 2001, doc. web n.  39773
 38. Cfr. Provv. 17 febbraio 2005, doc. web n.  1148228, con il quale si è dichiarato inammissibile un ricorso presentato a seguito di istanza avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali priva di sottoscrizione.
 39. Cfr. ad esempio Provv. 2 luglio 2003, doc. web n.  1079989; Provv. 24 giugno 2003, doc. web n.  1132725
 40. Cfr. Provv. 17 marzo 2005, doc. web n.  1170467
 41. Cfr. da ultimo Provv. 7 luglio 2005, doc. web n.  1149559; Provv. 16 giugno 2005, doc. web n.  1149999
 42.  Provv. 16 ottobre 2002, doc. web n.  1066447
 43. Cfr. Provv. 25 novembre 2002, doc. web n.  1067321
 44. Cfr. Provv. 20 aprile 2005, doc. web n.  1134190; già Provv. 27 dicembre 2001, in Boll., 2001, n. 23, p. 72
 45. Cfr. Provv. 21 dicembre 2005, doc. web n. 1219039
 46. Cfr., in relazione all’aggiornamento del dato relativo al titolo di studio, Provv. 6 settembre 2002, doc.  web n.  1066183
 47. Cfr., in relazione all’aggiornamento delle informazioni relative al titolo di studio, Provv. 9 gennaio 2003, doc.  web n.  1067817

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione del 13 settembre 2005, con la quale i signori Luigi Michelini, Luigi Compagnoni e Giuseppe Greco, in qualita di legali rappresentanti degli studi di consulenza per il trasporto Michelini s.r.l., Agenzia Credit e Agenzia Upam, hanno lamentato la ricezione di numerosi fax indesiderati provenienti dal consorzio I.S.A.Co., allegati alla segnalazione medesima;

RILEVATO dagli atti che il consorzio I.S.A.Co. pubblicizza in tali fax propri servizi e iniziative a studi di consulenza per il trasporto, e propone loro di associarsi al consorzio medesimo;

RILEVATO che allo stato non risulta (sia dalla segnalazione, sia dal riscontro che il consorzio ha fornito alle richieste degli interessati, nonche dalla nota del 17 gennaio 2006 che il consorzio stesso ha inviato all’Autorita in risposta ad una richiesta di elementi ai sensi dell’art. 157 del Codice) che l’inoltro dei reiterati messaggi promozionali mediante telefax sia basato sul previo consenso specifico dei relativi destinatari;

VISTA, altresi, l’ulteriore segnalazione del 27 ottobre 2006 con la quale i predetti signori Michelini e Compagnoni hanno lamentato nuovamente la ricezione di ulteriori fax promozionali da parte del consorzio I.S.A.Co. in data 17 ottobre 2006, aventi analogo contenuto promozionale;

RILEVATO che l’art. 130, comma 2, del Codice prescrive, per l’invio di materiale pubblicitario mediante telefax, l’acquisizione di un consenso informato, specifico e preventivo dell’interessato (v., in applicazione della medesima disposizione, i provvedimenti del Garante del  29 maggio 2003 -relativo allo spamming- e del  10 giugno 2003 -relativo agli sms promozionali- in www.garanteprivacy.it, doc. web. nn.  29840 e 29836);

CONSIDERATO che l’invio di messaggi promozionali mediante telefax senza il prescritto consenso configura, quindi, un trattamento illecito di dati;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d’ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresi, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;

RILEVATA la necessita di vietare il trattamento ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, considerato che l’invio di messaggi promozionali per mezzo del telefax in assenza del necessario consenso dei destinatari degli stessi risulta, dagli atti, reiterato dal consorzio I.S.A.Co., contrariamente a quanto dallo stesso dichiarato al Garante nella risposta alla menzionata richiesta di elementi ai sensi dell’art. 157 del Codice;

RISERVATA, con autonomo provvedimento, la contestazione in separata sede della violazione amministrativa concernente l’informativa agli interessati (artt. 13, comma 4 e 161 del Codice);

RISERVATA, altresi, l’adozione di ogni altro atto e provvedimento all’esito di ulteriori accertamenti preliminari;

TENUTO CONTO che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento e punito con la reclusione da tre mesi a due anni;

CONSIDERATO che l’art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Chiaravalloti;

TUTTO CI PREMESSO IL GARANTE:

ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, vieta il trattamento dei dati personali effettuato mediante utilizzo del telefax per inviare comunicazioni pubblicitarie senza il preventivo consenso specifico ed informato degli interessati, nei confronti del consorzio I.S.A.Co. e di ogni altro soggetto che, in sede di comunicazione del presente provvedimento e di correlati accertamenti preliminari risulti eventualmente titolare o contitolare del trattamento dei dati in questione. Ci, con effetto dalla data di notificazione del presente atto presso la sede, residenza o domicilio risultanti dagli atti o comunque accertati dall’organo notificante.

 

23/11/06 - Garante Privacy