Privacy

Il Garante per la protezione dei dati personali ha fornito specifiche indicazioni relative alle problematiche della comunicazione e della diffusione dei dati, dell'informativa che il datore di lavoro deve rendere ai lavoratori, dei dati idonei a rivelare lo stato di salute e del diritto d'accesso.

Le operazioni di trattamento riguardano per lo più:

- dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l'adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;

- informazioni più strettamente connesse allo svolgimento dell'attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, ecc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti "ad personam"; l'ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l'assenza dal servizio nei casi previsti dalla legge o dai contratti collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.

I medesimi dati sono:

- contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, il Garante si è già pronunciato) o nel corso del rapporto di lavoro;

- contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali;

- resi disponibili in albi e bacheche o, ancora, nelle Intranet aziendali.

Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.

In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.

In particolare, il Codice in materia di protezione dei dati personali prescrive che il trattamento di dati personali avvenga:

- nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati,

- informando preventivamente e adeguatamente gli interessati,

- chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso,

- rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate,

- adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere anche civilmente e penalmente.

Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza).

Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti: lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.

Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento.

La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l'interessato vi acconsente.

Se il datore di lavoro non può avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso, può prescindersi dal consenso stesso per comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali:

- associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione);

- conoscenti, familiari e parenti.

Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l'informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi.

Per tali informazioni, l'ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per contenere, nei limiti dell'indispensabile, i dati dei quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto.

Il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa individualizzata completa degli elementi previsti dalla disciplina normativa applicabile.

Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, a protezione dei dati personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione all'eventuale natura sensibile dei medesimi.

Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell'interessato.

I lavoratori interessati possono esercitare nei confronti del datore di lavoro il diritto di accedere ai dati che li riguardano di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi.

Riferimenti normativi: art. 8, Legge 20 maggio 1970, n. 300; D. Lgs. 30 giugno 2003, n. 196; Provvedimento Garante protezione dati personali, 23 novembre 2006