Il 29 luglio è stato pubblicato in Gazzetta Ufficiale il Provvedimento del Garante per la protezione dei dati personali n. 146 del 5 giugno 2019.
Il provvedimento (che disciplina anche il trattamento da parte di enti non commerciali e investigatori privati, quello di dati genetici e per finalità di ricerca scientifica) si occupa innanzitutto della privacy nel rapporto di lavoro.
In particolare, viene regolato il trattamento dei dati appartenenti a categorie particolari, per le quali è necessaria una specifica attenzione e protezione.
Prima dell’intervento del G.D.P.R. (Regolamento Europeo n. 679/2016), il Codice della Privacy (D.Lgs. n. 196/2003) prevedeva una definizione di dati sensibili, intesi come quelli “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale“.
La nozione di dati sensibili scompare nel GDPR, sostituita da quella di “dati appartenenti a categorie particolari“.
La modifica, nei fatti, è per lo più formale. L’art. 9 G.D.P.R., infatti, considera appartenenti alle “categorie particolari” i
Il GDPR vieta, in linea di principio, il trattamento dei dati appartenenti alle categorie particolari.
Si ricorda che “trattamento” è un concetto ampio, tale da abbracciare qualsiasi operazione applicata a dati personali.
Il Regolamento elenca quindi, all’art. 9 par. 2, gli specifici casi di trattamento consentito.
Meritano di essere ricordati, tra gli altri:
Il consenso, per essere valido, dev’essere fornito “liberamente”.
Il “Gruppo di lavoro articolo 29 per la protezione dei dati”, nelle proprie raccomandazioni, ha evidenziato che
Pertanto, il datore di lavoro dovrà trattare i dati personali dei dipendenti secondo le basi e regole previste dalla normativa privacy per l’assenza di consenso, anche nei casi in cui il consenso sia stato acquisito espressamente.
Il Regolamento Europeo, a differenza delle direttive, si applica direttamente negli ordinamenti dei diversi Stati, con valore superiore alla legge ordinaria.
Il G.D.P.R., una volta in vigore, è quindi intervenuto direttamente sulla normativa costituita dal Codice della Privacy e dai provvedimenti del Garante che ne applicavano i principi.
Il D.Lgs. n. 101 del 2018 prende atto dell’efficacia diretta della normativa Europea, chiarisce quali parti della disciplina devono ritenersi abrogate a causa della riforma e prevede gli adattamenti necessari per evitare dubbi e vuoti normativi.
L’articolo 21 del D.Lgs 101/18 delegava il Garante a confermare o aggiornare, tra l’altro l’autorizzazione generale per il trattamento dei dati appartenenti a categorie particolari nell’ambito del rapporto di lavoro.
Il provvedimento n. 146 del 2019, emanato a seguito di una consultazione pubblica sull’argomento, opera tale adattamento, fornendo alcune prescrizioni fondamentali per il trattamento dei dati personali dei lavoratori.
Il provvedimento del garante prevede, al punto 1.1, il proprio ambito di applicazione, esteso a “tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti” di dati appartenenti a categorie particolari “per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro“.
Questa dichiarazione di principio va letta in combinazione con il successivo elenco dei ruoli rilevanti indicati dal garante.
Si segnala innanzitutto, per importanza, che le regole sono applicabili al trattamento effettuato dal datore di lavoro, inteso come qualsiasi soggetto pubblico o privato che
Il concetto di rapporto di lavoro e di datore di lavoro ai fini privacy è quindi particolarmente ampio, esteso certamente al lavoro parasubordinato e, a rigore, verso confini ancora più ampio.
La presenza di un rapporto di “collaborazione”, a prescindere dalla difficoltà nel tracciarne una definizione certa, è prevista solo per i “lavoratori autonomi”. Al contrario, per esempio, sia gli incarichi a “liberi professionisti” che a “mandatari” sono considerati in ogni caso rilevanti ai fini del provvedimento.
Il garante sembra quindi voler porre attenzione, oltre al panorama del lavoro subordinato e della parasubordinazione, su ogni tipo di incarico di natura intellettuale / professionale in senso lato rivolto da un operatore economico a una persona fisica,
Oltre al datore di lavoro, il provvedimento è rivolto a tutti i soggetti che curano gli adempimenti in materia di lavoro, di previdenza e di assistenza sociale e fiscale nell’interesse di soggetti che siano parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge n. 12 del 1979.
Probabilmente, la precisazione è irrilevante. I soggetti che curano la gestione del personale (siano Consulenti del Lavoro, Avvocati o Commercialisti), trattano i dati degli interessati in quanto “responsabili del trattamento”, soggetti delegati dal titolare (il datore). Il trattamento non potrebbe quindi risultare meno sicuro o essere soggetto a regole meno rigorose rispetto a quello imposto al titolare.
Gli altri soggetti obbligati a rispettare il provvedimento sono
Gli interessati al trattamento (persone fisiche identificate o identificabili cui si riferiscono i dati oggetto del trattamento) sono individuati nei
Il trattamento dei dai appartenenti a categorie particolari è lecito solo se svolto per fini specifici, elencati dal garante.
Di fatto, si tratta di precisazioni e applicazioni dei principi già presenti nel G.D.P.R.
Il trattamento è quindi ammesso per
Salvi casi particolari, i dati devono essere forniti, spontaneamente o su richiesta, direttamente dal lavoratore / interessato.
Per le comunicazioni effettuate nei suoi confronti
Nel caso di trasmissione di documenti contenenti categorie particolari di dati ad altri uffici o aree aziendali specifiche:
Se, per ragioni organizzative e nell’ambito della predisposizione dei turni, i dati relativi a presenze e assenze devono essere messi a disposizione di soggetti diversi dall’interessato (es. altri lavoratori), va evitato qualsiasi elemento (es. acronimi o sigle) che permetta di conoscere le cause dell’assenza (es. permessi sindacali o dati sanitari).
Il garante si sofferma in modo particolareggiato su alcuni specifici casi di trattamento
I trattamenti di dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati a una posizione lavorativa sono leciti solo se la raccolta sia necessaria per l’instaurazione del rapporto e giustificata da scopi determinati e legittimi.
Va ricordato che, in caso di dubbio sulla liceità del trattamento, sarà il titolare a doverne provare i presupposti. Se per i dati idonei a rivelare lo stato di salute può essere possibile immaginare un trattamento lecito, appare difficile ipotizzare ragioni di necessità per il trattamento di dati idonei a rivelare l’origine razziale dei candidati.
Il trattamento dei dati, sia ricevuti attraverso questionari che forniti spontaneamente dai candidati (per esempio attraverso l’invio di curricula), deve riguardare solamente le informazioni pertinenti e limitate alle finalità lecite, anche alla luce delle mansioni previste o specificità dei profili professionali richiesti.
Come già ricordato, il concetto di “trattamento” è particolarmente ampio, comprensivo anche della mera conservazione. Vietare di trattare i dati ricevuti “in eccesso” rispetto a quelli strettamente necessari a valutare l’assunzione avrebbe potuto essere letto come un obbligo, per il titolare, di rimuovere dai curricula ricevuti le informazioni ulteriori, con ogni evidente aggravio gestionale.
Il Garante ha quindi precisato che, qualora i curricula inviati dai candidati presentino informazioni non pertinenti, chi effettuerà la selezione potrà limitarsi a non utilizzare tali informazioni, pur effettuandone necessariamente un “trattamento” (per il solo fatto di aver esaminato il curriculum).
Il garante si sofferma sulla gestione dei dati idonei a rivelare
Il trattamento di questi dati risulta da un lato necessario e dall’altro lecito, nella gestione del rapporto di lavoro, per
Nel caso di partecipazione del dipendente a operazioni elettorali come rappresentante di lista, il datore, per il riconoscimento dei benefici di legge
Viene precisato che i dati genetici non possono mai essere utilizzati per stabilire l’idoneità professionale di un candidato o di un lavoratore, neppure con il suo consenso.