Il trattamento delle “categorie particolari” di dati nel rapporto di lavoro

Avatar DiMarco Strada

Il 29 luglio è stato pubblicato in Gazzetta Ufficiale il Provvedimento del Garante per la protezione dei dati personali n. 146 del 5 giugno 2019.

Il provvedimento (che disciplina anche il trattamento da parte di enti non commerciali e investigatori privati, quello di dati genetici e per finalità di ricerca scientifica) si occupa innanzitutto della privacy nel rapporto di lavoro.

In particolare, viene regolato il trattamento dei dati appartenenti a categorie particolari, per le quali è necessaria una specifica attenzione e protezione.

Si rimanda a questo articolo per un’introduzione al tema della protezione dati e ai suoi concetti fondamentali.

Le categorie particolari di dati

La nozione

Prima dell’intervento del G.D.P.R. (Regolamento Europeo n. 679/2016), il Codice della Privacy (D.Lgs. n. 196/2003) prevedeva una definizione di dati sensibili, intesi come quelli “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale“.

La nozione di dati sensibili scompare nel GDPR, sostituita da quella di “dati appartenenti a categorie particolari“.

La modifica, nei fatti, è per lo più formale. L’art. 9 G.D.P.R., infatti, considera appartenenti alle “categorie particolari” i

  • dati personali che rivelino
    • l’origine razziale o etnica
    • le opinioni politiche
    • le convinzioni religiose o filosofiche
    • l’appartenenza sindacale
  • dati genetici
  • dati biometrici intesi a identificare in modo univoco una persona fisica
  • dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Le regole

Il GDPR vieta, in linea di principio, il trattamento dei dati appartenenti alle categorie particolari.

Si ricorda che “trattamento” è un concetto ampio, tale da abbracciare qualsiasi operazione applicata a dati personali.

Il Regolamento elenca quindi, all’art. 9 par. 2, gli specifici casi di trattamento consentito.

Meritano di essere ricordati, tra gli altri:

  • il consenso dell’interessato
  • il trattamento necessario per assolvere gli obblighi ed esercitare i diritti in materia di diritto del lavoro, sicurezza e protezione sociale,
    • nella misura in cui sia autorizzato dal diritto dell’Unione o dallo Stato, oppure da un contratto collettivo
    • e in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato

Il consenso nel rapporto di lavoro

Il consenso, per essere valido, dev’essere fornito “liberamente”.

Il “Gruppo di lavoro articolo 29 per la protezione dei dati”, nelle proprie raccomandazioni, ha evidenziato che

  • il consenso non può ritenersi libero se tra chi lo fornisce e chi lo riceve ci sia uno squilibrio di potere;
  • il rapporto di lavoro è un tipico caso nel quale è possibile riscontrare una situazione di squilibrio: è infatti improbabile che il lavoratore si ritenga libero di negare il consenso richiesto dal datore.

Pertanto, il datore di lavoro dovrà trattare i dati personali dei dipendenti secondo le basi e regole previste dalla normativa privacy per l’assenza di consenso, anche nei casi in cui il consenso sia stato acquisito espressamente.

Il sistema delle fonti

Il Regolamento Europeo, a differenza delle direttive, si applica direttamente negli ordinamenti dei diversi Stati, con valore superiore alla legge ordinaria.

Il G.D.P.R., una volta in vigore, è quindi intervenuto direttamente sulla normativa costituita dal Codice della Privacy e dai provvedimenti del Garante che ne applicavano i principi.

Il D.Lgs. n. 101 del 2018 prende atto dell’efficacia diretta della normativa Europea, chiarisce quali parti della disciplina devono ritenersi abrogate a causa della riforma e prevede gli adattamenti necessari per evitare dubbi e vuoti normativi.

L’articolo 21 del D.Lgs 101/18 delegava il Garante a confermare o aggiornare, tra l’altro l’autorizzazione generale per il trattamento dei dati appartenenti a categorie particolari nell’ambito del rapporto di lavoro.

Il provvedimento n. 146 del 2019, emanato a seguito di una consultazione pubblica sull’argomento, opera tale adattamento, fornendo alcune prescrizioni fondamentali per il trattamento dei dati personali dei lavoratori.

Il provvedimento n. 146/19

A chi si applica

Il provvedimento del garante prevede, al punto 1.1, il proprio ambito di applicazione, esteso a “tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti” di dati appartenenti a categorie particolari “per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro“.

Questa dichiarazione di principio va letta in combinazione con il successivo elenco dei ruoli rilevanti indicati dal garante.

Il datore

Si segnala innanzitutto, per importanza, che le regole sono applicabili al trattamento effettuato dal datore di lavoro, inteso come qualsiasi soggetto pubblico o privato che

  • sia parte di un rapporto di lavoro
  • comunque utilizzi prestazioni lavorative anche atipiche, parziali o temporanee
  • conferisca incarichi professionali a
    • consulenti, liberi professionisti, agenti, rappresentanti e mandatari
    • collaboratori continuativi o altri lavoratori autonomi in rapporto di collaborazione

Il concetto di rapporto di lavoro e di datore di lavoro ai fini privacy è quindi particolarmente ampio, esteso certamente al lavoro parasubordinato e, a rigore, verso confini ancora più ampio.

La presenza di un rapporto di “collaborazione”, a prescindere dalla difficoltà nel tracciarne una definizione certa, è prevista solo per i “lavoratori autonomi”. Al contrario, per esempio, sia gli incarichi a “liberi professionisti” che a “mandatari” sono considerati in ogni caso rilevanti ai fini del provvedimento.

Il garante sembra quindi voler porre attenzione, oltre al panorama del lavoro subordinato e della parasubordinazione, su ogni tipo di incarico di natura intellettuale / professionale in senso lato rivolto da un operatore economico a una persona fisica,

Gli altri ruoli

Oltre al datore di lavoro, il provvedimento è rivolto a tutti i soggetti che curano gli adempimenti in materia di lavoro, di previdenza e di assistenza sociale e fiscale nell’interesse di soggetti che siano parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge n. 12 del 1979.

Probabilmente, la precisazione è irrilevante. I soggetti che curano la gestione del personale (siano Consulenti del Lavoro, Avvocati o Commercialisti), trattano i dati degli interessati in quanto “responsabili del trattamento”, soggetti delegati dal titolare (il datore). Il trattamento non potrebbe quindi risultare meno sicuro o essere soggetto a regole meno rigorose rispetto a quello imposto al titolare.

Gli altri soggetti obbligati a rispettare il provvedimento sono

  • agenzie per il lavoro e tutti i soggetti operanti nell’intermediazione, compresi gli enti di formazione accreditati
  • organismi paritetici o che gestiscono osservatori in materia di lavoro
  • rappresentante dei lavoratori per la sicurezza
  • organismi e associazioni di categoria dei datori di lavoro
  • medico competente in materia di salute e sicurezza sul lavoro, sia libero professionista che dipendente del datore o di strutture convenzionate

A chi si riferisce

Gli interessati al trattamento (persone fisiche identificate o identificabili cui si riferiscono i dati oggetto del trattamento) sono individuati nei

  • candidati a una posizione lavorativa, anche nei casi di curricula trasmessi spontaneamente
  • lavoratori subordinati, intesi in senso ampio, ricomprendente anche
    • contratti di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale
    • praticantato per l’abilitazione professionale
    • somministrazione di lavoro
    • tirocinio
    • associazione in partecipazione
  • consulenti, liberi professionisti, agenti, rappresentanti, mandatari, collaboratori e lavoratori autonomi (vedi sopra)
  • familiari dei lavoratori subordinati o dei collaboratori, per agevolazioni e permessi
  • persone fisiche che ricoprono cariche sociali o altri incarichi in persone giuridiche, enti, associazioni e organismi obbligati al rispetto del provvedimento.
  • terzi danneggiati nell’esercizio dell’attività lavorativa o professionale

Finalità del trattamento

Il trattamento dei dai appartenenti a categorie particolari è lecito solo se svolto per fini specifici, elencati dal garante.

Di fatto, si tratta di precisazioni e applicazioni dei principi già presenti nel G.D.P.R.

Il trattamento è quindi ammesso per

  • l’adempimento di obblighi o compiti previsti per l’instaurazione, gestione ed estinzione del rapporto di lavoro
  • il riconoscimento di agevolazioni o contributi
  • applicazione della normativa previdenziale, assistenziale, di igiene e sicurezza sul lavoro, fiscale e sindacale
  • la tenuta della contabilità e la corresponsione di stipendi o altre somme al lavoratore
  • salvaguardare vita e incolumità del lavoratore o di un terzo
  • far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, amministrativa, nelle procedure di arbitrato o di conciliazione
    • viene precisato che il trattamento lecito al fine della tutela di un proprio diritto in giudizio è solo quello che si riferisce a
      • contenziosi in atto
      • situazioni precontenziose
  • adempiere obblighi assicurativi a protezione del datore di lavoro da responsabilità per
    • salute e sicurezza sul lavoro o malattie professionali
    • danni cagionati a terzi nell’esercizio di attività lavorativa o professionale
  • garantire le pari opportunità nel lavoro
  • perseguire scopi determinati e legittimi individuati da contratti collettivi o statuti degli organi rappresentativi datoriali, in materia di assistenza sindacale ai datori di lavoro

Modalità di trattamento

Salvi casi particolari, i dati devono essere forniti, spontaneamente o su richiesta, direttamente dal lavoratore / interessato.

Per le comunicazioni effettuate nei suoi confronti

  • se vengono utilizzati strumenti elettronici, questi devono consentire comunicazioni individualizzate verso l’interessato o un suo apposito delegato
  • gli eventuali documenti cartacei vanno trasmessi di regola in busta chiusa, salvi gli adempimenti necessari per garantire la prova della ricezione (per esempio la sottoscrizione per ricevuta)

Nel caso di trasmissione di documenti contenenti categorie particolari di dati ad altri uffici o aree aziendali specifiche:

  • se possibile, vanno trasmesse solo le informazioni strettamente necessarie, evitando la trasmissione integrale del documento
  • vanno utilizzati mezzi e modalità che garantiscano la ricezione e il trattamento da parte dei soli uffici, strutture e personale competenti e autorizzati

Se, per ragioni organizzative e nell’ambito della predisposizione dei turni, i dati relativi a presenze e assenze devono essere messi a disposizione di soggetti diversi dall’interessato (es. altri lavoratori), va evitato qualsiasi elemento (es. acronimi o sigle) che permetta di conoscere le cause dell’assenza (es. permessi sindacali o dati sanitari).

Trattamenti specifici

Il garante si sofferma in modo particolareggiato su alcuni specifici casi di trattamento

Trattamenti nella fase preliminare all’assunzione

Stato di salute e origine razziale ed etnica

I trattamenti di dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati a una posizione lavorativa sono leciti solo se la raccolta sia necessaria per l’instaurazione del rapporto e giustificata da scopi determinati e legittimi.

Va ricordato che, in caso di dubbio sulla liceità del trattamento, sarà il titolare a doverne provare i presupposti. Se per i dati idonei a rivelare lo stato di salute può essere possibile immaginare un trattamento lecito, appare difficile ipotizzare ragioni di necessità per il trattamento di dati idonei a rivelare l’origine razziale dei candidati.

Dati non pertinenti e curricula

Il trattamento dei dati, sia ricevuti attraverso questionari che forniti spontaneamente dai candidati (per esempio attraverso l’invio di curricula), deve riguardare solamente le informazioni pertinenti e limitate alle finalità lecite, anche alla luce delle mansioni previste o specificità dei profili professionali richiesti.

Come già ricordato, il concetto di “trattamento” è particolarmente ampio, comprensivo anche della mera conservazione. Vietare di trattare i dati ricevuti “in eccesso” rispetto a quelli strettamente necessari a valutare l’assunzione avrebbe potuto essere letto come un obbligo, per il titolare, di rimuovere dai curricula ricevuti le informazioni ulteriori, con ogni evidente aggravio gestionale.

Il Garante ha quindi precisato che, qualora i curricula inviati dai candidati presentino informazioni non pertinenti, chi effettuerà la selezione potrà limitarsi a non utilizzare tali informazioni, pur effettuandone necessariamente un “trattamento” (per il solo fatto di aver esaminato il curriculum).

Trattamenti nel corso del rapporto di lavoro

Il garante si sofferma sulla gestione dei dati idonei a rivelare

  • le convinzioni religiose o filosofiche o l’adesione a relative associazioni
  • opinioni politiche, appartenenza sindacale, esercizio di funzioni pubbliche e di incarichi pubblici.

Il trattamento di questi dati risulta da un lato necessario e dall’altro lecito, nella gestione del rapporto di lavoro, per

  • fruizione di permessi in occasione di festività religiose
  • erogazione dei servizi di mensa
  • esercizio dell’obiezione di coscienza (nei casi previsti dalla legge)
  • fruizione di permessi relativi all’attività politica o sindacale
  • fruizione dei periodi di aspettativa
  • consentire l’esercizio dei diritti sindacali, compresa la gestione delle trattenute per il versamento delle quote a organizzazioni o associazioni sindacali

Nel caso di partecipazione del dipendente a operazioni elettorali come rappresentante di lista, il datore, per il riconoscimento dei benefici di legge

  • non deve trattare dati che rivelino le opinioni politiche (per esempio richiedendo il documento che designa il rappresentante di lista)
  • è sufficiente disporre di certificazione del presidente di seggio

Dati genetici

Viene precisato che i dati genetici non possono mai essere utilizzati per stabilire l’idoneità professionale di un candidato o di un lavoratore, neppure con il suo consenso.

VALUTAZIONE DEGLI UTENTI
[Voti: 0    Media Voto: 0/5]

Lascia una risposta