Trattamento di dati particolari, le nuove prescrizioni del Garante privacy

Il Garante della privacy con provvedimento 5 giugno 2019 (in G.U. 29 luglio 2019, n. 176) ha individuato limiti, condizioni e adempimenti necessari per poter trattare le categorie di dati particolari in vari ambiti tra cui quello relativo ai rapporti di lavoro.
In particolare, a conclusione dell’iter procedurale previsto dal nuovo Codice della privacy (il D. Lgs. n. 101/2018 attuativo del reg. CE 2016/679) sono state individuate le prescrizioni dei trattamenti dei dati particolari nei rapporti di lavoro oltre che in una serie di trattamenti riferiti a categorie specifiche.
Il provvedimento ha stabilito inoltre che l’autorizzazione generale sul trattamento dei dati giudiziari del 2016 cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dal rinnovato codice della privacy.
Al riguardo, si ricorda, che la liceità di tali trattamenti di dati giudiziari nell’ambito dei rapporti di lavoro, dopo il regolamento dell’unione europea, è condizionato all’emanazione di uno specifico decreto ministeriale (non ancora pubblicato).
Infine le precedenti autorizzazioni generali del 2016 emesse dal Garante – riguardanti il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni contenute nella nuova disciplina comunitaria.
La prima prescrizione autorizza il trattamento dei dati particolari nel rapporto di lavoro, cioè quei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, di tipo genetico, biometrico nonché dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Con l’aggiunta di alcune novità (es. dati biometrici) l’elenco è simile a quello (precedente) dei dati cosiddetti sensibili.
Pertanto il provvedimento ricalca in generale la precedente autorizzazione a trattare dati sensibili, cessati nel mese di maggio 2018 e prorogati in attesa delle nuove autorizzazioni a seguito dell’entrata in vigore del nuovo regolamento europeo.
La prescrizione in questione si rivolge non solo ai datori di lavoro ma anche alle agenzie di intermediazione e somministrazione nonché ai consulenti del lavoro e intermediari che curano la gestione del personale o ai medici competenti in materia di sicurezza e igiene sul lavoro.
I dati particolari autorizzati riguardano non solo i lavoratori dipendenti assunti con qualsiasi tipologia contrattuale ma anche collaboratori, agenti e professionisti, nonché familiari dei predetti interessati ai fini del rilascio, in quest’ultimo caso, di agevolazioni e permessi come nel caso dei permessi handicap.
I trattamenti dei dati particolari nell’ambito dei predetti rapporti sono legittimi solo se conformi alle prescrizioni seguenti, cioè se effettuati con le modalità e i limiti indicati.

– Finalità
Richiamando l’art. 9 del regolamento europeo il trattamento di dati particolari deve essere funzionale per l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, in relazione all’instaurazione, gestione o cessazione dei rapporti di lavoro, oppure, in mancanza di tali obblighi, per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori. È inoltre ammissibile il trattamento dei predetti dati per garantire le pari opportunità.
Manca nella prescrizione del Garante il riferimento al punto h) dell’art. 9 citato in cui si si autorizza a trattare dati particolari quando «il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente … ».
La norma, al di là del mancato richiamo da parte del Garante, abilita i medici e operatori sanitari a trattare i dati medici del lavoratore ai fini della valutazione dell’idoneità professionale, e pertanto si rivolge senz’altro al medico competente.
Deve necessariamente ritenersi che l’autorizzazione al trattamento di questi dati si estenda anche al datore di lavoro che a seguito di una diagnosi di incapacità lavorativa dovrà riorganizzare le mansioni del lavoratore oppure, in caso di impossibilità a farlo, recedere dal rapporto.

– Limiti
In relazione poi ad alcune fasi del rapporto i trattamenti dei dati particolari può avvenire lecitamente:
– in fase preassuntiva, il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di curricula, deve riguardare le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità;
– in fase di selezione del personale, i dati genetici non possono essere trattati al fine di stabilire l’idoneità professionale di un candidato all’impiego, neppure con il consenso dell’interessato;
– i dati relativi all’appartenenza sindacale possono essere effettuati solo ai fini della concessione dei relativi permessi o aspettative oppure per consentire l’esercizio dei diritti sindacali o effettuare le trattenute dalla busta paga;
– in fase di svolgimento del rapporto di lavoro la capacità professionale ai fini dell’avanzamento di carriera ad esempio, non può essere valutata mediante trattamento di dati genetici.
Benché ad oggi di scarso rilievo almeno in Italia, la profilazione dei dati genetici potrebbe permettere di conoscere l’evoluzione sanitaria di una persona in particolare la predisposizione a sviluppare certe malattie, cosa che porterebbe a discriminare in fase di assunzione o di avanzamento di carriera alcuni lavoratori a scapito di altri.

– Modalità di raccolta dei dati
Infine il provvedimento individua alcune modalità di raccolta dati ed effettuazione dei trattamenti:
– le comunicazioni anche elettroniche dovranno essere individualizzate e se cartacee dovranno essere realizzate in plichi chiusi;
– le comunicazioni dei dati dei lavoratoti ad altri colleghi per ragioni di tipo organizzativo ad es. per predisporre turni di lavoro, non dovranno esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari).
A differenza delle precedenti autorizzazioni per i dati sensibili, il provvedimento non ha una sua validità temporanea proprio perché non è tecnicamente un’autorizzazione come in passato, perciò rappresenta solo una fonte secondaria regolatrice del trattamento dei dati particolari a cui i titolari devono uniformarsi pena l’applicazione di sanzioni amministrative (sanzione amministrativa pecuniaria fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Marco Craia

Per visualizzare il provvedimento cliccare QUI