La disciplina per la tutela dei cosiddetti dati sensibili.
L’ordinamento giuridico appresta una particolare tutela alla riservatezza delle persone, allo scopo di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità personale.
Una particolare disciplina è dettata per la tutela dei cosiddetti dati sensibili, relativi all’origine razziale ed etnica, alle convinzioni religiose, filosofiche o di altro genere, alle opinioni politiche, alla adesione a partiti, sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, nonché allo stato di salute ed alla vita sessuale.
Con la legge n. 675/1996 è stata istituita una apposita autorità di garanzia (il Garante per la protezione dei dati personali), titolare di poteri di autorizzazione, vigilanza e controllo. La tutela della privacy è attualmente regolata dal D.Lgs. n. 196/2003 recante il “Codice in materia di protezione dei dati personali”.
Per quanto riguarda i dati personali del lavoratore – soggetti a trattamento nell’ambito della gestione del rapporto di lavoro – il datore di lavoro è tenuto:
– a fornire preventivamente al lavoratore le necessarie informazioni in merito alle finalità ed alle modalità del trattamento cui sono destinati i dati raccolti, alla natura obbligatoria o facoltativa del conferimento dei dati, alle conseguenze dell’eventuale rifiuto di fornire i dati, ai soggetti cui i dati potranno essere comunicati, al nome, denominazione, o ragione sociale, domicilio, residenza o sede del titolare e, se designato, del responsabile del trattamento dati ed ai diritti spettanti all’interessato;
– a richiedere al lavoratore il consenso in forma specifica, documentando per iscritto il consenso
ottenuto.
Agli effetti della validità del consenso espresso, è necessario che al momento della raccolta dei dati siano state rese all’interessato tutte le informazioni prescritte dalla legge.
Il Garante per la protezione dei dati personali ha adottato, con la delibera n. 53/2006, le linee guida in materia di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati. Il provvedimento è pubblicato sulla Gazzetta ufficiale n. 285 del 7.12.2006 ed è reperibile sul sito www.garanteprivacy.it.
Le linee guida si riferiscono alla comunicazione e alla diffusione dei dati, all’informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice in materia di protezione dei dati personali), ai dati idonei a rivelare lo stato di salute e il diritto di accesso.
I trattamenti considerati nelle linee guida riguardano in particolare:
– dati anagrafici e biometrici dei lavoratori, fotografie e dati sensibili riferiti anche a terzi soprattutto se idonei a rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo stato di salute;
– informazioni più strettamente connesse allo svolgimento dell’attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, ecc.), la qualifica ed il livello professionale, la retribuzione individuale corrisposta, l’ammontare di premi, il tempo di lavoro anche straordinario, le ferie ed i permessi individuali (fruiti o residui), le assenze dal servizio nei casi previsti dalla legge o dai contratti di lavoro, i trasferimenti ad altra sede di lavoro, i procedimenti e provvedimenti disciplinari.
Ulteriori provvedimenti del Garante a tratto generale riguardano:
– l’utilizzo della posta elettronica e della rete internet nell’ambito del rapporto di lavoro e i particolari accorgimenti che il datore di lavoro deve adottare in sede di controllo (1° marzo 2007);
– guida pratica e misure di semplificazione per le piccole e medie imprese (24.5.2007);
– autorizzazione al trattamento dei dati sensibili nel rapporto di lavoro (provvedimento n. 1 del 16 dicembre 2009), valida per il periodo 1° gennaio 2010 – 30 giugno 2011.
La giurisprudenza di merito ha affermato che colui che si senta leso nel proprio diritto alla privacy, come delineato nel relativo Codice, può e deve chiedere tutela (anche mediante la richiesta di cancellazione o di distruzione o di blocco dei dati personali indebitamente trattati) al soggetto titolare del trattamento, e cioè al soggetto “cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Ne consegue che non possono essere considerati destinatari delle pretese sostanziali azionate in causa dal ricorrente ex art. 152, D.Lgs. n. 196/2003, in quanto né “titolari del trattamento”, né “responsabili del trattamento”, coloro che, per effetto di mere pattuizioni contrattuali assunte col titolare del trattamento (nella specie: datore di lavoro dell’attore), hanno materialmente effettuato operazioni attinenti ai dati personali (Trib. Torino 20.2.2008).
Diritto di accesso ai dati che riguardano la gestione del rapporto
I lavoratori hanno diritto di conoscere tutti i dati personali che riguardano la gestione del rapporto di lavoro secondo le modalità previste dal Codice in materia di protezione dei dati personali. Lo ha ribadito il Garante per la protezione dei dati personali (newsletter n. 321/2009) decidendo sul ricorso proposto da un conducente di mezzi pubblici al quale era stata negata la possibilità di ottenere tutte le informazioni relative alla gestione del rapporto di lavoro, ed in particolare i dati sui turni di servizio giornalieri da lui effettuati nell’arco degli ultimi dieci anni. Tali dati, come dichiarato dallo stesso dipendente, sarebbero stati utili in un procedimento da promuovere innanzi al giudice del lavoro. La società di trasporti si era però opposta alla richiesta, sostenendo che quelle informazioni non potevano essere considerati “dati personali” e che la loro ricerca, visto l’arco temporale esteso, sarebbe stata complessa. Aveva infine invocato il “temporaneo differimento dell’accesso” a questi dati, sostenendo che il loro rilascio al dipendente avrebbe pregiudicato il proprio esercizio del diritto di difesa qualora si fosse effettivamente instaurato un contenzioso.
Nell’accogliere il ricorso del dipendente, il Garante ha innanzitutto evidenziato che le informazioni relative all’ordinaria gestione del rapporto di lavoro costituiscono senza dubbio dati personali e, in quanto tali, possono essere legittimamente oggetto di richiesta di accesso da parte dell’interessato. Sulla base degli atti e di quanto stabilito dal Codice sopra richiamato, l’Autorità non ha inoltre riscontrato ragioni idonee a giustificare un differimento dell’accesso poiché, non essendosi avviata alcuna controversia, non esisteva allo stato alcun pregiudizio concreto che avrebbe potuto condizionare o alterare l’esercizio del diritto di difesa da parte della società.
Buste paga
I cedolini dello stipendio devono essere consegnati spillati o in busta chiusa e non devono contenere informazioni lesive della riservatezza. Gli uffici addetti alla predisposizione e alla consegna dei cedolini sono tenuti a tutelare la privacy dei lavoratori, limitando l’inserimento di informazioni sulla sfera privata e impedendo l’indebita conoscenza dei dati da parte di persone non autorizzate (Garante per la protezione dei dati personali, newsletter n. 325/2009).
Fonti – Codice in materia di protezione dei dati personali: D.Lgs. n. 196/2003; Consenso del lavoratore: art. 23, D.Lgs. n. 196/2003; Linee guida per la gestione dei rapporti di lavoro: delibera n. 53/2006
(per maggiori approfondimenti vedi Manuale lavoro, Novecento Media)
