03/09/2019 - Le prescrizioni del Garante privacy sui dati di categorie particolari
tratto da quotidianopa.leggiditalia.it
Le prescrizioni del Garante privacy sui dati di categorie particolari
di Mauro Alovisio - Avvocato
Il Garante per la protezione dei dati personali adotta, ai sensi dell'art. 21, D.Lgs. n. 101/2018, dopo una consultazione pubblica on line, un provvedimento (pubblicato sulla Gazzetta Ufficiale del 29 luglio 2019, n. 179) che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per potere trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all'etnia, all'orientamento sessuale.
Il provvedimento riguarda dati attinenti alla sfera intima delle persone (gli ex dati sensibili). L'espressione "dati sensibili" a decorrere dal 25 maggio 2018 si intende, infatti, riferita alle categorie particolari di dati ex art. 9 del Regolamento (art. 22, comma 2, D.Lgs. n. 101/2018).
Il sopra citato art. 9 del Regolamento individua i presupposti per il trattamento dei dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (c.d. "categorie particolari di dati personali", par. 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (par. 4).
Il provvedimento in esame, adottato ai sensi del D.Lgs. n. 101/2018 che ha adeguato la normativa nazionale al Regolamento Ue, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione.
Il provvedimento è di interesse in quanto richiama l'attenzione degli enti sulla categoria particolari dei dati ed è finalizzato a orientare e guidare gli operatori sotto il profilo sia delle misure organizzative sia tecniche.
Il provvedimento è rilevante ma delinea una disciplina transitoria, il Garante sottolinea come il provvedimento in esame produrrà effetti fino all'adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice della Privacy.
Il Garante specifica che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali.
Il Garante evidenzia come la violazione delle prescrizioni contenute nel provvedimento generale in esame sono soggette in base all'art. 21, comma 5, D.Lgs. n. 101/2018 alla sanzione amministrativa di cui all'art. 83, par. 5, del Regolamento;
Il Garante richiama l'attenzione degli operatori sull'inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali, ai sensi dell'art. 2-decies, del Codice salvo quanto previsto dall'art. 160-bis dello stesso Codice.
L'Autorità specifica che l'autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell'art. 21 del D.Lgs. n. 101/2018.
Il Garante chiarisce, inoltre, che le autorizzazioni generali n. 2, 4 e 5 - riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari - cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni.
Il provvedimento approfondisce il trattamento delle sopra citate categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.
Le prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro (aut. gen. n. 1/2016) hanno un notevole impatto per gli enti pubblici alla luce dell'ampiezza del loro ambito di applicazione.
Il provvedimento si applica, infatti, nei confronti di tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti per finalità d'instaurazione, gestione ed estinzione del rapporto di lavoro, in particolare: agenzie per il lavoro e altri soggetti che, in conformità alla legge, svolgono, nell'interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale. Il provvedimento si applica anche agli enti di formazione accreditati (novità rispetto al contenuto del provvedimento generale del 13 dicembre 2018, n. 497 sottoposto a consultazione pubblica on line).
Il provvedimento si applica alle persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale, agli organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa dell'Unione europea, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali.
Il provvedimento si applica ai soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, al rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito; al medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate.
L'applicazione si estende anche alle associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi in materia di assistenza sindacale ai datori di lavoro.
Il perimetro del provvedimento è ampio in quanto si applica ai trattamenti di categorie particolari di dati personali, acquisiti di regola direttamente presso l'interessato, riferiti a:
- candidati all'instaurazione dei rapporti di lavoro, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell'instaurazione di un rapporto di lavoro (art. 111-bis del Codice);
- lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l'abilitazione professionale, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione;
- consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
- soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio;
- persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni;
- terzi danneggiati nell'esercizio dell'attività lavorativa o professionale;
-terzi (familiari o conviventi dei lavoratori subordinato, collaboratori per il rilascio di agevolazioni e permessi.
Il provvedimento approfondisce il profilo delle finalità del trattamento e riguarda i trattamenti effettuati
a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell'Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del Regolamento UE n. 2016/679), nonché del riconoscimento di agevolazioni ovvero dell'erogazione di contributi, dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica del lavoratore o di un terzo;
d) per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell'Unione europea, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose; resta salvo quanto stabilito dall'art. 60 del Codice;
e) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale;
f) per garantire le pari opportunità nel lavoro;
g) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
Il provvedimento approfondisce il profilo dei "Trattamenti effettuati nella fase preliminare alle assunzioni" anche da parte delle agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell'interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale. Tali agenzie possono trattare i dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica dei candidati all'instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto.
Il provvedimento richiama l'attenzione sul fatto che il trattamento di dati effettuato ai fini dell'instaurazione del rapporto di lavoro, deve riguardare le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti.
Il provvedimento prende in esame sul punto sia la raccolta di dati sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia l'invio di candidature spontanee attraverso l'invio dei curricula.
Il Garante sottolinea come qualora nei curricula inviati dai candidati siano presenti dati non pertinenti rispetto alla finalità perseguita gli enti o i datori di lavoro che effettuano la selezione devono astenersi dall'utilizzare tali informazioni. Si tratta di una precisazione importante alla luce della crisi di lavoro nel nostro paese.
Il provvedimento contiene il divieto al trattamento di dati genetici al fine di stabilire l'idoneità professionale di un candidato all'impiego, neppure con il consenso dell'interessato.
Il provvedimento approfondisce anche il profilo dei trattamenti effettuati nel corso del rapporto di lavoro ed esamina i trattamenti di dati effettuato dal datore di lavoro di dati che rivelano le convinzioni religiose o filosofiche ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l'esercizio dell'obiezione di coscienza;
Il provvedimento prende in esame i trattamenti di dati da parte del datore di lavoro di dati che rivelano le opinioni politiche o l'appartenenza sindacale, o l'esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l'esercizio dei diritti sindacali compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali;
Il provvedimento si estende anche ai trattamenti effettuati dal datore di lavoro in caso di partecipazione di dipendenti ad operazioni elettorali in qualità di rappresentanti di lista, in applicazione del principio di necessità, non deve trattare nell'ambito della documentazione da presentare al fine del riconoscimento di benefici di legge, dati che rivelino le opinioni politiche (ad esempio, non deve essere richiesto il documento che designa il rappresentate di lista essendo allo scopo sufficiente la certificazione del presidente di seggio.
Il provvedimento ribadisce che il datore di lavoro non può trattare dati genetici al fine di stabilire l'idoneità professionale di un dipendente, neppure con il consenso dell'interessato.
Con riferimento alle modalità di trattamento, il Garante specifica che:
- i dati devono essere raccolti, di regola, presso l'interessato;
- in tutte le comunicazioni all'interessato che contengono categorie particolari di dati devono essere utilizzate forme di comunicazione anche elettroniche individualizzate nei confronti di quest'ultimo o di un suo delegato, anche per il tramite di personale autorizzato. Nel caso in cui si proceda alla trasmissione del documento cartaceo, questo dovrà essere trasmesso, di regola, in plico chiuso, salva la necessità di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell'atto;
Tale prescrizione è coerente con i principi di privacy by default, accountability e richiederà un approfondimento in particolare in relazione all'adozione delle misure organizzative e tecniche, all'ambito e sui livelli di autorizzazione, alla formazione degli autorizzati.
Il provvedimento ha, pertanto, il pregio di esaminare anche i trattamenti di dati senza strumenti elettronici che sovente espongono i soggetti interessati a rischi elevati (es. data breach).
Il provvedimento specifica che i documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all'interno del testo. A tal fine dovranno essere selezionate e impiegate modalità di trasmissione della documentazione che ne garantiscano la ricezione e il relativo trattamento da parte dei soli uffici o strutture organizzative competenti e del solo personale autorizzato.
Le pubbliche amministrazioni trattano una quantità notevole di categorie particolari di dati.
Il provvedimento richiede alle pubbliche amministrazioni di approfondire, pertanto, gli strumenti di pseudonimizzazione e crittografia e richiederà un approfondimento per gli uffici degli enti pubblici che si occupano di protocollo e di ufficio personale.
Gli enti dovranno in prima battuta coinvolgere i responsabili per la protezione dei dati personali ed i responsabili per la transizione digitale degli enti per valutare gli impatti applicativi delle prescrizioni del provvedimento.
Il provvedimento rileva che quando per ragioni di organizzazione del lavoro, e nell'ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall'interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell'assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari).
Il provvedimento in esame è di interesse in quanto l'ambito di applicazione è molto ampio: si estende dai cv inviati spontaneamente, dalla fase preassuntiva, al trattamento di dati durante il rapporto e anche dopo la cessazione. Le prescrizioni riguardano anche il trattamento dei dati relativi ai famigliari dei dipendenti o collaboratori.
Il trattamento dei dati di categorie particolari in ambito lavorativo riguarda profili delicati con gravi rischi di discriminazioni ed il provvedimento in esame deve essere letto alla luce anche delle prescrizioni dello statuto dei lavoratori (artt. 4 e 9, L. n. 300/1970) e della relativa evoluzione della giurisprudenza.
