Garante per i dati personali - 5/06/2019 - n. 146 art. 1Ai sensi dell'art. 21, comma 1, del decreto legislativo 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento riportate nell'allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 21, comma 2, del decreto legislativo n. 101/2018. InquadramentoCon il Provvedimento del 5 giugno 2019, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. n. 101/2018 si è conclusa la procedura di revisione alla luce del Regolamento (UE) 2016/679 di seguito anche “GDPR”, delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore il codice privacy A-R. A conclusione della consultazione pubblica avviata lo scorso dicembre, l'Autorità ha adottato il provvedimento di cui in narrativa, pubblicato sulla G.U [GU n. 176 del 29 luglio 2019]. Il provvedimento, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione. [GPDP doc. web 9124510]. Entrando nel merito dell'oggetto del Provvedimento con particolare riguardo al trattamento delle categorie particolari di dati nel contesto lavorativo, va rilevato che il GDPR al considerando 51, similmente a quanto previsto dall'abrogata direttiva 95/46/CE richiama la necessità di una specifica protezione dei dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali. Già la direttiva 95/46/CE, cosiddetta “direttiva madre”, prevedeva all'art. 8 che gli Stati membri disponessero il divieto di trattamento delle categorie particolari di dati, ovvero tutti quei dati che avrebbero potuto dare luogo a discriminazione, in assenza di consenso degli interessati. La prescrizione era stata recepita nella versione previgente del codice privacy all'art. 26, il quale recitava: “I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti”. Essendo il consenso la base giuridica richiesta per tali trattamenti, l'autorizzazione doveva considerarsi come una sorta di certificazione – da parte dell'autorità – della bontà del trattamento. Pertanto con l'ex Aut. gen. n. 1/2016 l'Autorità aveva fornito una autorizzazione generale disciplinando le basi giuridiche e le tipologie di trattamento. Entrando nella disanima del Provvedimento, l'Autorità prima di entrare nel vivo del paragrafo denominato «Ambito di applicazione» (par.1.1), nell'introdurre il tema del trattamento delle categorie particolari di dati nel contesto lavorativo, alla luce del quadro normativo delineato dal Regolamento (UE) 2016/679, specifica che i predetti trattamenti sono considerati sia se effettuati da datori di lavoro pubblici, sia privati, ciò diversamente dall'impianto del codice privacy A-R (cfr. art. 88 e 9, par. 2, lett.b) regolamento UE 2016/679). Difatti il cod. privacy A-R prevedeva all'art. 20 che il «trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite». Invero tutto l'impianto del Regolamento, nel considerare la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale un diritto fondamentale (art. 1 reg. (UE) n. 2016/679), richiede ai privati e alle Pubbliche Amministrazioni in qualità di titolari o responsabili la medesima responsabilità. Recita pertanto il primo capoverso, il presente provvedimento si applica nei confronti di tutti coloro che, a vario titolo (titolare/responsabile), effettuano trattamenti per finalità d'instaurazione, gestione ed estinzione del rapporto di lavoro. Ad avviso della scrivente merita di essere valorizzato il riferimento espresso a titolari e responsabili del trattamento, il linea con gli obblighi di accountability previsti anche a carico dei responsabili del trattamento ai sensi degli artt. 32 (paragrafo 4), 37, (paragrafo 1), e 28 del GDPR, volto a garantire la certezza del diritto e la trasparenza, per offrire alle persone fisiche il medesimo livello di diritti azionabili e di obblighi e responsabilità dei titolari del trattamento e dei responsabili del trattamento. Tuttavia, in taluni casi potrà non essere pienamente agevole individuare con chiarezza i predetti ruoli, e nel lavoro dell'interprete, in attesa che il Comitato possa deliberare nuove opinion in materia espressamente riferite al GDPR, potrà essere utile rifarsi al «Parere 1/2010, del pre vigente Gruppo di Lavoro articolo 29 per la protezione dei dati sui concetti di «data controller» e «data processor» «adottato il 16 febbraio 2010». In tale parere ai fini della individuazione dei reciproci ruoli e delle connesse responsabilità, viene fatto espresso riferimento alla competenza a «determinare le finalità e gli strumenti» del trattamento, tipica del data controller, la quale può derivare da varie circostanze giuridiche e/o concrete: un'esplicita competenza giuridica (quando è la legge a designare il responsabile del trattamento o a conferire il compito o l'obbligo di raccogliere ed elaborare certi dati); disposizioni giuridiche comuni o ruoli tradizionali esistenti che generalmente comportano una certa responsabilità all'interno di certe organizzazioni (ad esempio il datore di lavoro nei confronti dei suoi dipendenti); circostanze concrete ed altri elementi (come relazioni contrattuali, responsabilità effettiva di una parte, visibilità verso gli interessati, ecc.) (WP29 Parere 1/2010). Tale parere è stato successivamente arricchito dall'EDPB con le Linee guida 07/2020 che ha ampliato il novero degli esempi. Inoltre in merito all'identificazione dei ruoli di titolare o responsabile si ritiene opportuno evidenziare che il Garante per la protezione dei dati personali, con nota 22 gennaio 2019 indirizzata al Consiglio nazionale dei consulenti del lavoro, ha fornito alcuni chiarimenti, sollecitati dallo stesso organismo rappresentativo della categoria e da numerosi professionisti (commercialisti, avvocati, consulenti legali), con particolare riferimento alla individuazione del ruolo di titolare, responsabile o contitolare relativamente alle attività svolte da tale categoria di professionisti. Pertanto l'Autorità ha chiarito, che mentre in relazione alle attività di trattamento che riguardano dati dei propri dipendenti e dei propri clienti il consulente del lavoro (o altro professionista) determina puntualmente le finalità e i mezzi del trattamento sulla base dei criteri di legittimazione applicabili (contratto, discipline di settore applicabili), operando in qualità di titolare del trattamento, nel caso in cui effettui attività “esternalizzate” dal datore di lavoro per conto di quest'ultimo riveste necessariamente il ruolo di responsabile del trattamento. (Relazione 2019 GPDP par. 13.6). Proseguendo con la disamina dell'ambito di applicazione del Provvedimento, entriamo nell'indicazione delle categorie interessate. Al riguardo si rileva una notevole estensione rispetto a quanto previsto con le autorizzazioni generali adottate in data 15 dicembre 2016; la predetta estensione è stata inoltre arricchita a seguito delle operazioni di consultazione comprendendo anche gli enti di formazione accreditati. Posto il divieto al trattamento dei dati sensibili indicato all'art. 9 del Regolamento, con la presente autorizzazione si è voluto ricomprendere in modo più puntuale le diverse categorie di operatori legittimati, dando ovviamente riscontro nel mutato quadro normativo nel campo lavoristico e previdenziale di cui ancora non si era dato conto nelle proroghe delle precedenti. L'autorizzazione si applica in particolare: a) agenzie per il lavoro e altri soggetti che, in conformità alla legge, svolgono, nell'interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale, ivi compresi gli enti di formazione accreditati; b) persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 1.2, lettere c) e d); c) organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa dell'Unione europea, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali; d) rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito; e) soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della l. n. 12/1979, che disciplina la professione di consulente del lavoro; f) associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi in materia di assistenza sindacale ai datori di lavoro; g) medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate. Avendo riguardo alla deroga al divieto di trattamento di categorie particolari di dati indicati alla lettera a) tra cui le agenzie e altri soggetti che, in conformità alla legge, svolgono, nell'interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale, è utile ribadire che la deroga non esclude il rispetto dei principi applicabili al trattamento di dati personali all'art. 5 del GDPR (vedi anche infra nella presente trattazione). Interessati ai quali i dati si riferisconoIl paragrafo «Interessati ai quali i dati si riferiscono» (par. 1.2) presenta una prima modifica al testo antecedente, in quanto dichiara che il presente provvedimento si applica ai trattamenti di categorie particolari di dati personali, acquisiti di regola direttamente presso l'interessato. L'indicazione di regola, a parere della scrivente, non può non essere collegata alle agenzie e altri soggetti che, in conformità alla legge, svolgono, nell'interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale, così come previsto al paragrafo 1 lettera a). Nell'individuare i soggetti cui i dati si riferiscono, viene espressamente introdotta l'indicazione di seguito riportata alla lettera a) candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell'instaurazione di un rapporto di lavoro (art. 111 - bis del codice). Anche tale previsione a parere della scrivente non può che essere stata inserita nell'ottica di favorire l'ingresso al lavoro. Difatti sempre una delle novità della nuova disciplina codicistica è data dal predetto art. 111- bis che prevede che le informazioni di cui all'art. 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all'invio del curriculum medesimo. Tale indicazione sembra confermare, quanto già anticipato in dottrina «che, implicitamente, il legislatore parrebbe ammettere anche la posticipazione (non certo l'esclusione) del consenso per trattamento di dati particolari/sensibili, in caso di invio spontaneo di curricula da parte degli interessati, poiché si permette la resa della informativa differita al primo contatto utile e ne consegue che non sia ipotizzabile la richiesta di un consenso ex art. 9.2a) GDPR che non sia informato (Bolognini, Pelino, par. 12). Vengono invece di massima mantenute le categorie di soggetti già indicati nell'autorizzazione del 15 dicembre 2016 – dalla lett. b) alla f) – per quanto le predette categorie risultano più attuali in quanto raccolgono quanto disciplinato con la recente riforma del mercato del lavoro con l'introduzione di un contratto unico a tutele crescenti. Di seguito le altre categorie riconosciute dalla autorizzazione generale di cui in narrativa: b) lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale, ovvero praticanti per l'abilitazione professionale, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione. Da notare che a seguito della procedura di consultazione sono state ampliate ulteriormente le figure professionali ricomprese nelle categorie di cui alla lettera b) inserendo i praticanti per l'abilitazione professionale. Tale indicazione a parere della scrivente non può che essere accolta con favore, posta la necessità di disciplinare anche il trattamento dei dati personali degli aspiranti professionisti. c) Consulenti e liberi professionisti, agenti, rappresentanti e mandatari; d) soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti indicati nel precedente punto 2; e) persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi indicati nel precedente punto 2; f) terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere. Al riguardo merita di essere rilevato che sempre a seguito della procedura di consultazione, e stata escluso alla lettera f) dalla categoria dei terzi danneggiati nell'esercizio dell'attività lavorativa o professionale, il richiamo espresso “ai soggetti di cui alle precedenti lettere”. Tale esclusione sembrerebbe non porre limiti alla categoria di terzi danneggiati nell'esercizio dell'attività lavorativa o professionale. Mentre di nuova introduzione rispetto all'autorizzazione del 15 dicembre del 2016, la lett. g) terzi (familiari o conviventi dei soggetti di cui alle precedenti lettere b) e d) per il rilascio di agevolazioni e permessi. Finalità del trattamentoIl paragrafo «Finalità del trattamento» (1.3) in primo luogo specifica che il trattamento delle categorie particolari di dati personali è effettuato solo se necessario (art. 9, par. 2 Regolamento (UE) 2016/679): al di là del riferimento al GDPR, riconosce diverse precedenti finalità pur presentando alcune novità di rilievo. In primis alla lett. a) tra le finalità consentite per il trattamento di dati sensibili in materia di lavoro, è stata esclusa la finalità di trattamento dell'ordine e della sicurezza pubblica. Tale esclusione potrebbe essere ricondotta a parere della scrivente, alla mancata espressa menzione nella casistica indicata all'art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante). Sempre in merito alla finalità del trattamento si ritiene necessario precisare che sebbene l'art. 9, par. 1, del RGPD ha inserito i dati biometrici nel novero dei dati “particolari” per i quali vige un generale divieto di trattamento, il legislatore nazionale ha previsto due ipotesi di trattamento di dati biometrici nel contesto del rapporto di lavoro. In primo luogo, l'art. 2-septies, comma 7, del Codice consente il trattamento dei dati biometrici nell'ambito dell'accesso fisico e logico ai dati da parte di soggetti autorizzati; non rientrano in tale ambito i trattamenti effettuati per finalità di controllo dell'autenticazione all'accesso ad aree particolari e riservate, così come quelli finalizzati alla rilevazione della presenza in servizio nell'ambito del lavoro privato. La seconda ipotesi riguarda esclusivamente il lavoro pubblico. La l. n. 56/2019, recante interventi per la concretezza delle azioni delle pp.aa. e la prevenzione dell'assenteismo (in relazione alla quale non è stata adottata la necessaria normativa secondaria di attuazione) ha infatti previsto l'utilizzo di sistemi biometrici per finalità di verifica dell'osservanza dell'orario di lavoro. Garante ha manifestato riserve sulla compatibilità di tale disciplina rispetto ai principi e alle disposizioni in materia di tutela dei dati personali (Relazione 2019 GPDP par. 13.1). Inoltre alla lett. d) dell'art. 9 del Regolamento (UE) 2016/679, viene previsto una ulteriore deroga al divieto generale di trattamento delle categorie particolari di dati n relazione alle finalità di: «per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell'Unione europea, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento» è stato specificato che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, resta salvo quanto stabilito all'art. 60 del codice. La specifica della tutela dei diritti in giudizio, sembra delimitare in modo definito il campo delle indagini dei difensori/investigatori privati così come previsto nella specifica autorizzazione n. 3. Mentre l'inserimento dell'inciso resta salvo quanto stabilito dall'art. 60 del codice a chiusura del periodo, inserito a seguito della procedura di consultazione, ribadisce che il trattamento delle categorie particolari di dati è consentito se la situazione giuridicamente rilevante è di rango almeno pari ai diritti dell'interessato. Appare importante l'esclusione della finalità di accesso civico, che prende atto della disciplina individuata dal d.lgs. n. 33/2013 così come modificata dal d.lgs. n. 97/2016, che all'art. 5-bis, esclusioni e limiti all'accesso civico prevede che l'accesso di cui all'art. 5, comma 2, è altresì rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela dei seguenti interessi privati: a) protezione dei dati personali, in conformità alla disciplina legislativa in materia; b) libertà e segretezza della corrispondenza; c) gli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali. Quanto sopra anche in accoglimento di quanto rappresentato dalle Linee guida dell'ANAC di cui all'art. 5 comma 2 del d.lgs. n. 33/2013 (Linee guida deliberate dall'Autorità Nazionale Anticorruzione, d'intesa con il Garante per la protezione dei dati personali, Delibera n. 1309 del 28 dicembre 2016). Va rappresentato che il Garante per la protezione dei dati personali ha espresso numerosi pareri a vantaggio dei responsabili della prevenzione della corruzione o a difensori civici chiamati ad individuare in materia di limiti all'accesso civico, come anche indicato nella relazione annuale del Garante anno 2017 (vedi relazione annuale del Garante 2017). I predetti Provvedimenti hanno tenuto in adeguata considerazione le ragionevoli aspettative di confidenzialità dei soggetti coinvolti, in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti ai fini lavorativi, in considerazione del rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'art. 5-bis (art. 5, comma 2 del d.lgs. n. 33/2013). Prescrizioni specifiche relative alle categorie di datiTrattamenti effettuati nella fase preliminare alle assunzioni Il presente paragrafo, che non è stato arricchito dall'esito delle consultazioni, è dedicato ad individuare in via ricognitiva i trattamenti effettuati nella fase preliminare alle assunzioni (par. 1.4.1); vengono individuate con le lettere dalla a) alla d) quattro categorie di ipotesi tipiche di trattamenti che di seguito vengono analizzate: a ) «le agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell'interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale. I predetti soggetti possono trattare i dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica dei candidati all'instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto.» In relazione a quanto sopra, merita di essere ricordato quanto previsto all'art. 10 del d.lgs. n. 276/2003 (di attuazione delle deleghe in materia di occupazione e mercato del lavoro di cui alla l. n. 30/2003) che stabilisce il divieto di indagini sulle opinioni e i trattamenti discriminatori da parte di agenzie per il lavoro e degli altri soggetti pubblici e privati autorizzati o accreditati. I divieti di cui sopra non possono in ogni caso impedire alle agenzie per il lavoro e gli altri soggetti pubblici e privati autorizzati o accreditati di fornire specifici sevizi o azioni mirate per assistere le categorie di lavoratori svantaggiati nella ricerca di una occupazione (Bolognini, Pelino, par. 12). b ) Alla presente lettera vengono ad essere considerate le prescrizioni relative: «al trattamento effettuato ai fini dell'instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l'invio di curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall'art. 113 del codice, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti». Sul punto può essere di interesse il provvedimento dell'AGPD del 21 luglio 2011 che ha dichiarato illecito un questionario somministrato per la selezione del personale, vietandone l'uso dei dati. Nel corso dell'istruttoria, il Garante aveva accertato che numerose domande contenute nel questionario riguardavano aspetti anche intimi della sfera personale dei candidati, relativi ai rapporti affettivi, al grado di stabilità degli stessi, alla vita sessuale (con richieste su eventuali problemi o disturbi), condizioni di salute psicofisica, eventuali interruzioni di gravidanza, tentativi di suicidio etc. Tale trattamento dei dati è stato dichiarato illecito innanzitutto perché in contrasto con l'art. 8 dello Statuto dei lavoratori, sia con l'art. 10 d.lgs. n. 276/2003 che vieta alle agenzie di lavoro o ai soggetti che si occupano di preselezione di lavoratori di effettuare indagini relative alle convinzioni personali, al credo religioso, etc. La raccolta di questi dati personali risulta inoltre illecita perché effettuata in violazione dei principi di indispensabilità, pertinenza e non eccedenza fissati dal Codice privacy (GPDP, 22 luglio 2011 [doc. web n. 1825852]). Il Garante dopo l'accertamento dell'illecito ha inoltre disposto la trasmissione del provvedimento al Ministero del lavoro e delle politiche sociali nonché all'autorità giudiziaria per le valutazioni di competenza, riservandosi anche di valutare l'apertura di un procedimento per l'applicazione di sanzioni amministrative. c ) alla presente lettera viene chiarito che: «qualora nei curricula inviati dai candidati siano presenti dati non pertinenti rispetto alla finalità perseguita i soggetti di cui alla lett. a) o i datori di lavoro che effettuano la selezione devono astenersi dall'utilizzare tali informazioni.» Dalla lettura della predetta disposizione, il divieto all'utilizzo non sembrerebbe inficiare la ricezione e l'utilizzo del curriculum ma solo delle informazioni eccedenti. d ) «i dati genetici non possono essere trattati al fine di stabilire l'idoneità professionale di un candidato all'impiego, neppure con il consenso dell'interessato.» Il predetto divieto si rifà alle particolari cautele suggerite dal GDPR al considerando 53. Gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre ulteriori condizioni, fra cui limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, al considerando 75 che pone un monito sui rischi che possono emergere da tali trattamenti. Inoltre il predetto divieto si presume abbia fatto tesoro di quanto previsto dal Gruppo Europeo sull'Etica nelle Scienze e nelle Nuove Tecnologie, il quale nel 2003 ha formulato un parere in merito agli «Aspetti etici dei test genetici sul luogo di lavoro». Alla redazione del documento, frutto di due anni di lavoro, partecipò anche il Prof. Stefano Rodotà. Difatti con il citato parere il Gruppo ha ritenuto inaccettabile sul piano etico ricorrere allo screening genetico. Il ricorso ai test genetici di screening deve costituire un'eccezione, al fine di garantire la tutela della salute dei lavoratori o di terzi, e deve essere effettivamente necessario, deve fondarsi sulla provata validità scientifica del test, deve essere proporzionato alle finalità da raggiungere e non deve comportare alcuna discriminazione per i lavoratori coinvolti. I predetti casi devono essere specificati espressamente per legge, eventualmente prevedendo il coinvolgimento di organismi sindacali e di enti indipendenti di controllo (GPDP newsletter n. 184 del 22-28 settembre 2003 [doc. web n. 320975]). Trattamenti effettuati nel corso del rapporto di lavoro Il presente sotto paragrafo è dedicato ad individuare in via ricognitiva i trattamenti effettuati nel corso del rapporto di lavoro (par. 1.4.2). Da notare che in nessun caso viene prevista una esplicita deroga al trattamento di dati sanitari da parte del datore di lavoro né nella fase preliminare della assunzione, né durante la fase dell'esecuzione del rapporto di lavoro, la conoscenza di diagnosi mediche. Inoltre, come si potrà notare innanzi le casistiche ammesse alle lett. a) e b) sono indicate a carattere tassativo in quanto delimitate dalla locuzione «esclusivamente» mentre alla lettera ci viene espressamente indicato le modalità di trattamento più cautelativa rafforzata con un espresso divieto. Viene in ultimo ribadito il divieto a trattare i dati genetici come espressamente indicato anche per i trattamenti da effettuarsi nelle fasi preliminari alla assunzione. Al riguardo si segnala che Il Garante con il presente Provvedimento ha impartito prescrizioni specifiche relative alle modalità del trattamento di tale categoria di dati, precisando che in occasione dell'utilizzo di forme di comunicazione individualizzate nei confronti dell'interessato, anche avvalendosi di personale autorizzato, qualora si proceda alla trasmissione del documento cartaceo, questo dovrà essere trasmesso, di regola, in plico chiuso, salva la necessità per il datore di lavoro di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell'atto (v. punto 1.5, lett. b), provv. 5 giugno 2019, n. 146). Inoltre in caso di trasmissione di documenti contenenti categorie particolari di dati ad altri uffici o funzioni interne che risultino in concreto legittimati a conoscerli in base alle rispettive attribuzioni, è necessario verificare che la trasmissione riguardi esclusivamente le informazioni necessarie allo svolgimento della funzione, astenendosi dall'allegare, se non strettamente indispensabile, documentazione integrale o stralci di documentazione non pertinente e non necessaria (v. punto 1.5, lett. c), provv. 5 giugno 2019, n. 146). (Relazione 2019 GPDP par. 13.2). Anche nella presente sezione vengono individuate quattro categorie di trattamenti suddivisi dalle lettere alfabetiche dalla a) alla d) che di seguito vengono analizzate: a) «il datore di lavoro tratta dati che rivelano le convinzioni religiose o filosofiche ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l'esercizio dell'obiezione di coscienza»; b) «il datore di lavoro tratta dati che rivelano le opinioni politiche o l'appartenenza sindacale, o l'esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l'esercizio dei diritti sindacali compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali»; c) «il datore di lavoro in caso di partecipazione di dipendenti ad operazioni elettorali in qualità di rappresentanti di lista, in applicazione del principio di necessità, non deve trattare nell'ambito della documentazione da presentare al fine del riconoscimento di benefici di legge, dati che rivelino le opinioni politiche (ad esempio, non deve essere richiesto il documento che designa il rappresentante di lista essendo allo scopo sufficiente la certificazione del presidente di seggio)»; d) il datore di lavoro non può trattare dati genetici al fine di stabilire l'idoneità professionale di un dipendente, neppure con il consenso dell'interessato». Aspetto patologico del trattamento dei dati sensibili in relazione al «settore lavoro»In ultimo vale la pena fare un cenno all'aspetto patologico del trattamento dei dati sensibili in relazione al «settore lavoro», ovvero agli illeciti amministrativi e/o penali ed ai conseguenti aspetti sanzionatori. In relazione alla autorizzazione generale di cui in narrativa, va ricordato che la violazione di quanto disposto nei provvedimenti generali ai sensi dell'art. 170 del cod. privacy costituisce un illecito penale punito con la reclusione da tre mesi a due anni. Funzionale all'accertamento l'art. 158 del codice, il quale prevede che il Garante può anche disporre accessi a banche di dati archivi o altre ispezioni o verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento di dati personali (Bolognini, Pelino par. 23). Tali poteri ispettivi sono sicuramente indicati in settori tanto delicati dove lo squilibrio dei poteri datoriali rispetto a quelli dei lavoratori e/o aspiranti tali, è più forte. Inoltre in presenza di una violazione, ferma restando la possibilità di comminare eventuali sanzioni, l'autorità di controllo potrà imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell'immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti. Mentre per quanto riguarda tutte quelle disposizioni relative alla liceità del trattamento resteranno ferme le sanzioni amministrative previste dal Regolamento 2016/679. Va evidenziato in fine, che ai sensi del nuovo art. 158 del codice, il Garante può anche disporre accessi a banche di dati archivi o altre ispezioni o verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento di dati personali (Bolognini, Pelino par. 23). Inoltre in presenza di una violazione, ferma restando la possibilità di comminare eventuali sanzioni, l'autorità di controllo potrà imporre al titolare delle misure procedurali o tecniche di natura correttiva, da attuare nell'immediatezza, compreso il potere di limitare, sospendere o addirittura bloccare i trattamenti. Le sanzioni saranno irrogate dal Garante per la protezione dei dati personali, ai sensi dell'art. 15, comma 3 del d.lgs. n. 101/2018, il quale dovrà avere cura di valutare caso per caso, la gravità delle violazioni, nonché la tipologia e la dosimetria delle sanzioni da applicare, affinché le stesse siano sempre effettive, proporzionate e dissuasive. Difatti in base all'art. 83, sono le autorità di controllo nazionali (Garante) a provvedere affinché le sanzioni amministrative siano effettive, proporzionate e dissuasive. In base al principio di coerenza, l'intervento delle autorità si spera debba essere equivalente tra i vari Stati. Meritano pertanto di essere consultate le linee guida in data 24 maggio 2023, l'European Data Protection Board (EDPB) ha pubblicato, a conclusione del consueto iter di consultazione pubblica avviato il 12 maggio 2022, le Linee Guida n. 4/2022 aventi ad oggetto i criteri/metodologia da utilizzare, da parte di ogni singola Autorità di Controllo sulla protezione dei dati personali, ai fini della determinazione del calcolo dell'importo della sanzione amministrativa pecuniaria prevista dal Regolamento 2016/679. BibliografiaArnaboldi, La Nuova Privacy, Bologna, 2018; Bolognini, Pelino, Codice Privacy: tutte le novità del d.lgs. n. 101/2018, 23, Milano, 2018; Bolognini-Pelino-Bistolfi, Il Regolamento Privacy Europeo, Milano, 2016; Riccio, Scorza, Belisario, GDPR e Normativa Privacy, Milano, 2018. |
