Il trattamento dei dati personali di lavoratori e dipendenti trova la propria disciplina nelle disposizioni del capo III del d.lgs. n.196/2003, che regola spesso deroga le regole generali in materia di Privacy.
Il consenso
Il principio del primo comma dell’articolo 23 («il trattamento dei dati personali ad opera di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato») non trova qui applicazione, a causa dei principi giuslavoristici che riconducono la liceità dell’acquisizione e utilizzazione delle informazioni alla necessità di assicurare lo svolgimento di un regolare rapporto di lavoro.
Peraltro, il successivo articolo 24 prevede nove casi in cui il trattamento dei dati è lecito a prescindere dal consenso.
Alcuni di questi, a ben vedere, si adattano alla gran parte dei trattamenti che vengono svolti per la gestione ordinaria del rapporti di lavoro. In particolare, il consenso non è richiesto quando trattamento si è reso necessario:
- per adempiere a un obbligo previsto da legge, a un regolamento o normativa comunitaria (lett. A), comma 1, art. 24);
- per eseguire obblighi derivanti da contratto nel quale l’interessato è parte o per adempiere, prima della conclusione del contratto, a specifiche richieste dell ‘ interessato (lett. B), comma 1, art. 24);
- quando il trattamento riguarda di pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando limiti e modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e la pubblicità dei dati (lett. C), comma 1, art. 24).
Non è richiesto altresì il consenso dell’interessato – salva l’ipotesi di comunicazione all’esterno e di lucro – in riferimento ai soggetti che con esso hanno stipulato contratti per il perseguimento di scopi determinati e legittimi, individuati dall ‘ atto costitutivo, dallo statuto o dal contratto collettivo, e con le modalità previste espressamente con determinazione resa nota agli interessati all ‘ atto dell ‘ informativa di cui all’articolo 13.
Seconda parte
La notifica
Il Garante ha emanato apposita autorizzazione n. 1/2005 che permette il trattamento dei dati sensibili dei lavoratori, senza dover ottenere il loro consenso, nei casi previsti dalla formula legislativa.
In questo modo, il datore di lavoro può trattare gran parte dei dati sensibili che vengono in rilievo nella gestione del rapporto di lavoro.
In particolare, l’autorizzazione citata ha ribadito il principio che il trattamento dei dati sensibili possa avere per oggetto solo i dati strettamente pertinenti alle finalità e obblighi che lo giustificano.
Questi, non possono essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
La notifica del trattamento va attuata solo nei casi previsti dalla legge.
Il codice individua sei tipologie di trattamenti che vanno notificati. Questi sono i trattamenti più pericolosi per l’interessato poiché riguardano, per esempio, dati sensibili o biometrici trattati con strumenti elettronici in grado di definire il profilo o la personalità dell’interessato, ovvero dati sensibili registrati o anche dei dati a fini di selezione del personale per conto terzi.
Il Garante può individuare ulteriori trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, ovvero individuare eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.
Se dunque il Garante individua altri trattamenti suscettibili di recare il predetto pregiudizio, ciò implica inevitabilmente l’obbligo di notifica.
In data 31 marzo 2004 il Garante ha emanato apposito provvedimento col quale sono stati individuati, nell’ambito dei trattamenti di cui al comma 1 dell’articolo 37, quelli che sono sottratti all’obbligo di notificazione.
Tra questi ve ne sono diversi, dettagliatamente descritti, che riguardano l’area dei rapporti di lavoro.
Infine, tra le norme presenti nel d. lgs. 196/2003, alcune si mostrano assai interessanti, seppur spesso trascurate anche dagli addetti ai lavori.
L’articolo 111 prevede che il Garante promuova la sottoscrizione di un codice di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro.
La norma prevede anche specifiche modalità per l’informativa all’interessato e per eventuali prestazione del consenso relative alla pubblicazione degli annunci per finalità di occupazione e alla ricerca di curricula.
L’applicazione della disciplina della protezione dei dati nell’ambito della applicazione degli annunci per finalità di ricerca di personale e della ricezione dei CV ha posto qualche problema, specie in ordine all’adempimento dell’obbligo di informativa nei confronti dell’interessato e all’eventuale prestazione del consenso da parte di quest’ultimo, risolto in modo pragmatico dal Garante.
L’articolo 115 afferma che nell’ambito del rapporto di lavoro domestico e telelavoro il datore di lavoro a garantire al prestatore d’opera il rispetto della sua personalità e della sua libertà morale.
Rispetto al lavoro domestico, non si capisce il senso della previsione normativa, in quanto non vi dovrebbero essere dubbio che tali garanzie spettino anche al lavoratore domestico, senza quindi la necessità di un’esplicita previsione in tal senso.
Più importante è il riferimento al telelavoro: vanno rispettati i suddetti valori fondamentali, proprio in un rapporto di lavoro in cui è essenziale, per il suo efficace svolgimento, la costante raccolta di informazioni personali e il controllo tecnologico sul dipendente.
Da ciò si può ricavare che il trattamento dei dati del lavoratore e il controllo tecnologico su di esso devono tenere conto dell’esigenza di garantire adeguati margini di libertà e di rispetto della sua personalità.
Inoltre, la lettera G) introduce un presupposto di legittimazione del trattamento affidato alla valutazione del Garante, che individua i casi di trattamento senza consenso sulla base di principi di legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all ‘ attività di gruppi bancari e di società controllate o collegate.
A questo proposito è degno di nota il provvedimento sulla videosorveglianza del Garante del 29 aprile 2004.
Va sottolineato che anche questa disciplina lascia aperto il dubbio se la comunicazione dei dati personali non sensibili del lavoratore da parte del datore al sindacato – imposta dal contratto collettivo applicato – necessiti del consenso del lavoratore interessato, oppure sia ammissibile in base al presupposto di legittimazione del trattamento alternativo del consenso di cui alla lettera B) del comma 1 dell’articolo 24 del Codice in materia di Privacy.
Sembra ragionevole rispondere che il trattamento appare legittimato in forza dell’appena citato presupposto normativo: tale flusso informativo permette all’organizzazione sindacale di svolgere in modo efficace la sua attività di controllo sulle condizioni di lavoro e di salvaguardia dei diritti di tutta la collettività dei lavoratori.
Quanto al trattamento dei dati sensibili dei lavoratori privati, la disposizione base è quella di cui al comma 1 dell’articolo 26, secondo cui i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell ‘ interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti.
La presenza di ambedue le condizioni risale all’impostazione originaria della legge n. 675/1996, in considerazione dell’estrema pericolosità per la persona del trattamento dei dati sensibili. Il consenso scritto di cui al comma 1 non si applica peraltro al trattamento dei dati:
- relativi agli aderenti a confessioni religiose e soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni;
- riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
Altrettanto importante è quanto disposto al successivo comma 4, per il quale il trattamento dei dati sensibili può avvenire senza consenso, previa autorizzazione del Garante, quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici.
Quando? Per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi.
Con questa disposizione viene svincolato dal consenso dell’interessato il trattamento dei dati sensibili dei dipendenti delle cosiddette organizzazioni di tendenza e cioè di quei datori che perseguono finalità di tipo ideale.
Molto più ampia, invece, è la previsione della lettera D) del comma 4 che ammette la deroga quando è necessaria per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igene e sicurezza del lavoro e di previdenza e di assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizione del codici di deontologia e di buona condotta di cui all’articoli 111.
(* Fine prima parte)