Garante per la protezione
    dei dati personali


Autorizzazione n. 1/2013

Autorizzazione al trattamento dei dati sensibili neirapporti di lavoro

AUTORIZZAZIONEDEL 12 DICEMBRE 2013

(Pubblicata sulla Gazzetta Ufficiale n.302 del 27-12-2013)

Registrodei provvedimenti
 n. 564 del 12 dicembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e deldott. Giuseppe Busia, segretario generale;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante ilCodice in materia di protezione dei dati personali (di seguito"Codice");

Visto, in particolare, l'art. 4, comma 1, lett. d), del citatoCodice, il quale individua i dati sensibili;

Considerato che, ai sensi dell'art. 26, comma 1, del Codice, isoggetti privati e gli enti pubblici economici possono trattare i datisensibili solo previa autorizzazione di questa Autorità e, ove necessario, conil consenso scritto degli interessati, nell'osservanza dei presupposti e deilimiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;

Visto il comma 4, lett. d), del medesimo art. 26, il qualestabilisce che i dati sensibili possono essere oggetto di trattamento anchesenza consenso, previa autorizzazione del Garante, quando il trattamentomedesimo è necessario per adempiere a specifici obblighi o compiti previstidalla legge, da un regolamento o dalla normativa comunitaria per la gestionedel rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro edella popolazione e di previdenza e assistenza, nei limiti previstidall'autorizzazione e ferme restando le disposizioni del codice di deontologiae di buona condotta di cui all'art. 111 del Codice;

Considerato che il trattamento dei dati in questione può essereautorizzato dal Garante anche d'ufficio con provvedimenti di caratteregenerale, relativi a determinate categorie di titolari o di trattamenti (art.40 del Codice);

Considerato che le autorizzazioni di carattere generale sinorarilasciate sono risultate uno strumento idoneo per prescrivere misure uniformia garanzia degli interessati, rendendo altresì superflua la richiesta disingoli provvedimenti di autorizzazione da parte di numerosi titolari deltrattamento;

Ritenuto opportuno rilasciare nuove autorizzazioni insostituzione di quelle in scadenza il 31 dicembre  2013, armonizzando leprescrizioni già impartite alla luce dell'esperienza maturata;

Ritenuto opportuno che anche tali nuove autorizzazioni sianoprovvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codicee, in particolare, efficaci per il periodo di dodici mesi;

Considerata la necessità di garantire il rispetto di alcuniprincìpi volti a ridurre al minimo i rischi di danno o di pericolo che itrattamenti potrebbero comportare per i diritti e le libertà fondamentali,nonché per la dignità delle persone, e, in particolare, per il diritto allaprotezione dei dati personali sancito dall'art. 1 del Codice;

Considerato che un elevato numero di trattamenti di datisensibili è effettuato nell'ambito dei rapporti di lavoro;

Visto l'art. 11, comma 2, del Codice, il quale stabilisce che idati trattati in violazione della disciplina rilevante in materia ditrattamento di dati personali non possono essere utilizzati;

Visti gli artt. 31 e seguenti del Codice e il disciplinaretecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sullemisure di sicurezza;

Visto l'art. 41 del Codice;

Visti gli artt. 42 e seguenti del Codice in materia ditrasferimento di dati personali all'estero;

Visto l'art. 167 del Codice;

Visti gli atti d'ufficio;
 
Viste leosservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

Autorizza

il trattamento dei dati sensibili di cui all'art. 4, comma 1,lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondole prescrizioni di seguito indicate.

Prima di iniziare o proseguire il trattamento i sistemiinformativi e i programmi informatici sono configurati riducendo al minimol'utilizzazione di dati personali e di dati identificativi, in modo daescluderne il trattamento quando le finalità perseguite nei singoli casi possonoessere realizzate mediante, rispettivamente, dati anonimi od opportune modalitàche permettano di identificare l'interessato solo in caso di necessità, inconformità all'art. 3 del Codice.

1)Ambito di applicazione.

La presente autorizzazione è rilasciata:

a) alle persone fisiche e giuridiche, alle imprese,anche sociali, agli enti, alle associazioni e agli organismi che sono parte diun rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche,parziali o temporanee, o che comunque conferiscono un incarico professionalealle figure indicate al successivo punto 2, lettere b) e c);

b) ad organismi paritetici o che gestisconoosservatori in materia di lavoro, previsti dalla normativa comunitaria, dalleleggi, dai regolamenti o dai contratti collettivi anche aziendali;

l'autorizzazione riguarda anche l'attività svolta:

c) dal medico competente in materia di igiene e disicurezza del lavoro, in qualità di libero professionista o di dipendente deisoggetti di cui alla lettera a) o di strutture convenzionate;

d) dal rappresentante dei lavoratori per la sicurezza,anche territoriale e di sito;

e) da associazioni, organizzazioni, federazioni oconfederazioni rappresentative di categorie di datori di lavoro, al solo finedi perseguire le finalità di cui al punto 3), lettera h).

2)Interessati ai quali i dati si riferiscono.

Il trattamento può riguardare i dati sensibili attinenti:

a) a lavoratori subordinati, anche se parti di uncontratto di apprendistato, o di formazione e lavoro, o di inserimento, o dilavoro ripartito, o di lavoro intermittente o a chiamata, o di lavorooccasionale ovvero prestatori di lavoro nell'ambito di un contratto disomministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associatianche in compartecipazione e, se necessario in base ai punti 3) e 4), airelativi familiari e conviventi;

b) a consulenti e a liberi professionisti, ad agenti,rappresentanti e mandatari;

c) a soggetti che effettuano prestazioni coordinate econtinuative, anche nella modalità di lavoro a progetto, o ad altri lavoratoriautonomi in rapporto di collaborazione, anche sotto forma di prestazioni dilavoro accessorio, con i soggetti di cui al punto 1);

d) a candidati all'instaurazione dei rapporti dilavoro di cui alle lettere precedenti, fatta salva l'ipotesi prevista dall'art.26, comma 3, lett. b-bis), del Codice relativamente ai dati sensibiliindispensabili contenuti in curricula spontaneamente trasmessi dagli interessatiai fini dell'instaurazione di un rapporto di lavoro;

e) a persone fisiche che ricoprono cariche sociali oaltri incarichi nelle persone giuridiche, negli enti, nelle associazioni enegli organismi di cui al punto 1);

f) a terzi danneggiati nell'esercizio dell'attivitàlavorativa o professionale dai soggetti di cui alle precedenti lettere.

3)Finalità del trattamento.

Il trattamento dei dati sensibili deve essere indispensabile:

a) per adempiere o per esigere l'adempimento di specificiobblighi o per eseguire specifici compiti previsti dalla normativa comunitaria,da leggi, da regolamenti o da contratti collettivi anche aziendali, inparticolare ai fini dell'instaurazione, gestione ed estinzione del rapporto dilavoro, nonché del riconoscimento di agevolazioni ovvero dell'erogazione dicontributi, dell'applicazione della normativa in materia di previdenza edassistenza anche integrativa, o in materia di igiene e sicurezza del lavoro odella popolazione, nonché in materia fiscale, sindacale, di tutela dellasalute, dell'ordine e della sicurezza pubblica;

b) anche fuori dei casi di cui alla lettera a), in conformitàalla legge e per scopi determinati e legittimi, ai fini della tenuta dellacontabilità o della corresponsione di stipendi, assegni, premi, altriemolumenti, liberalità o benefici accessori;

c) per perseguire finalità di salvaguardia della vita odell'incolumità fisica del lavoratore o di un terzo;

d) per far valere o difendere un diritto anche da parte di unterzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure diarbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativacomunitaria, dai regolamenti o dai contratti collettivi, sempre che i datisiano trattati esclusivamente per tali finalità e per il periodo strettamentenecessario al loro perseguimento. Qualora i dati siano idonei a rivelare lostato di salute e la vita sessuale, il diritto da far valere o difendere deveessere di rango pari a quello dell'interessato, ovvero consistente in undiritto della personalità o in un altro diritto o libertà fondamentale einviolabile;

e) per esercitare il diritto di accesso ai documentiamministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamentiin materia;

f) per adempiere ad obblighi derivanti da contratti diassicurazione finalizzati alla copertura dei rischi connessi alla responsabilitàdel datore di lavoro in materia di igiene e di sicurezza del lavoro e dimalattie professionali o per i danni cagionati a terzi nell'eserciziodell'attività lavorativa o professionale;

g) per garantire le pari opportunità nel lavoro;

h) per perseguire scopi determinati e legittimi individuatidagli statuti di associazioni, organizzazioni, federazioni o confederazionirappresentative di categorie di datori di lavoro o dai contratti collettivi, inmateria di assistenza sindacale ai datori di lavoro.

4)Categorie di dati.

Il trattamento può avere per oggetto i dati strettamentepertinenti ai sopra indicati obblighi, compiti o finalità che non possanoessere adempiuti o realizzati, caso per caso, mediante il trattamento di datianonimi o di dati personali di natura diversa, e in particolare:

a) nell'ambito dei dati idonei a rivelare leconvinzioni religiose, filosofiche o di altro genere, ovvero l'adesione adassociazioni od organizzazioni a carattere religioso o filosofico, i daticoncernenti la fruizione di permessi e festività religiose o di servizi dimensa, nonché la manifestazione, nei casi previsti dalla legge, dell'obiezionedi coscienza;

b) nell'ambito dei dati idonei a rivelare le opinionipolitiche, l'adesione a partiti, sindacati, associazioni od organizzazioni acarattere politico o sindacale, i dati concernenti l'esercizio di funzionipubbliche e di incarichi politici, di attività o di incarichi sindacali (sempreche il trattamento sia effettuato ai fini della fruizione di permessi o diperiodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratticollettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative,nonché i dati inerenti alle trattenute per il versamento delle quote diservizio sindacale o delle quote di iscrizione ad associazioni odorganizzazioni politiche o sindacali;

c) nell'ambito dei dati idonei a rivelare lo stato disalute, i dati raccolti e ulteriormente trattati in riferimento a invalidità,infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni afattori di rischio, all'idoneità psico-fisica a svolgere determinate mansioni,all'appartenenza a determinate categorie protette, nonché i dati contenutinella certificazione sanitaria attestante lo stato di malattia, ancheprofessionale dell'interessato, o comunque relativi anche all'indicazione dellamalattia come specifica causa di assenza del lavoratore.

5)Modalità di trattamento.

Fermi restando gli obblighi previsti dagli artt. 11 e 14 delCodice, nonché dagli artt. 31 e seguenti del Codice e dall'Allegato B) almedesimo Codice, il trattamento dei dati sensibili deve essere effettuatounicamente con operazioni, nonché con logiche e mediante forme diorganizzazione dei dati strettamente indispensabili in rapporto ai sopraindicati obblighi, compiti o finalità.

I dati sono raccolti, di regola, presso l'interessato.

La comunicazione di dati all'interessato deve avvenire di regoladirettamente a quest'ultimo o a un suo delegato (fermo restando quanto previstodall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo aprevenire la conoscenza da parte di soggetti non autorizzati, anche attraversola previsione di distanze di cortesia.

Restano inoltre fermi gli obblighi di informare l'interessato e,ove necessario, di acquisirne il consenso scritto, in conformità a quantoprevisto dagli articoli 13, 23 e 26 del Codice.

6)Conservazione dei dati.

Nel quadro del rispetto dell'obbligo previsto dall'art. 11,comma 1, lettera e), del Codice, i dati sensibili possono essere conservati perun periodo non superiore a quello necessario per adempiere agli obblighi o aicompiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. Atal fine, anche mediante controlli periodici, deve essere verificatacostantemente la stretta pertinenza, non eccedenza e indispensabilità dei datirispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare ocessati, anche con riferimento ai dati che l'interessato fornisce di propriainiziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti onon pertinenti o non indispensabili non possono essere utilizzati, salvo cheper l'eventuale conservazione, a norma di legge, dell'atto o del documento cheli contiene. Specifica attenzione è prestata per l'indispensabilità dei datiriferiti a soggetti diversi da quelli cui si riferiscono direttamente leprestazioni e gli adempimenti.

7)Comunicazione e diffusione dei dati.

I dati sensibili possono essere comunicati e, ove necessario,diffusi nei limiti strettamente pertinenti agli obblighi, ai compiti o allefinalità di cui al punto 3), a soggetti pubblici o privati, ivi compresiorganismi sanitari, casse e fondi di previdenza ed assistenza sanitariaintegrativa anche aziendale, istituti di patronato e di assistenza sociale,centri di assistenza fiscale, agenzie per il lavoro, associazioni edorganizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberiprofessionisti, società esterne titolari di un autonomo trattamento di dati efamiliari dell'interessato.

Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei arivelare lo stato di salute non possono essere diffusi.

8)Richieste di autorizzazione.

I titolari dei trattamenti che rientrano nell'ambito diapplicazione della presente autorizzazione non sono tenuti a presentare unarichiesta di autorizzazione a questa Autorità, qualora il trattamento che siintende effettuare sia conforme alle prescrizioni suddette.

vLe richieste di autorizzazione pervenute o che perverranno anchesuccessivamente alla data di adozione del presente provvedimento, devonointendersi accolte nei termini di cui al provvedimento medesimo.

vIl Garante non prenderà in considerazione richieste diautorizzazione per trattamenti da effettuarsi in difformità dalle prescrizionidel presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, illoro accoglimento sia giustificato da circostanze del tutto particolari o dasituazioni eccezionali non considerate nella presente autorizzazione.

9) Normefinali.

Restano fermi gli obblighi previsti da norme di legge o diregolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti olimiti in materia di trattamento di dati personali e, in particolare, dalledisposizioni contenute:

a) nell'art. 8 della legge 20 maggio 1970, n. 300, chevieta al datore di lavoro ai fini dell'assunzione e nello svolgimento delrapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulleopinioni politiche, religiose o sindacali del lavoratore, nonché su fatti nonrilevanti ai fini della valutazione dell'attitudine professionale dellavoratore;

b) nell'art. 6 della legge 5 giugno 1990, n. 135, chevieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, neidipendenti o in persone prese in considerazione per l'instaurazione di unrapporto di lavoro, l'esistenza di uno stato di sieropositività;

c) nelle norme in materia di pari opportunità o voltea prevenire discriminazioni;

d) fermo restando quanto disposto dall'art. 8 dellalegge 20 maggio 1970, n. 300, nell'art. 10 del decreto legislativo 10 settembre2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggettiprivati autorizzati o accreditati di effettuare qualsivoglia indagine ocomunque trattamento di dati ovvero di preselezione di lavoratori, anche con illoro consenso, in base alle convinzioni personali, alla affiliazione sindacaleo politica, al credo religioso, al sesso, all'orientamento sessuale, allo statomatrimoniale o di famiglia o di gravidanza, alla età, all'handicap, alla razza,all'origine etnica, al colore, alla ascendenza, all'origine nazionale, algruppo linguistico, allo stato di salute e ad eventuali controversie con iprecedenti datori di lavoro, nonché di trattare dati personali dei lavoratoriche non siano strettamente attinenti alle loro attitudini professionali e alloro inserimento lavorativo.

10)Efficacia temporale.

La presente autorizzazione ha efficacia a decorrere dal 1gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garanteritenga di dover apportare in conseguenza di eventuali novità normativerilevanti in materia.

La presente autorizzazione sarà pubblicata nella GazzettaUfficiale della Repubblica italiana.

Roma, 12dicembre 2013

Il Presidente
Soro

Il relatore
Califano

Il segretario generale
Busia