Confederazione Generale dell'Industria Italiana
Circolare 08.06.2004, n. 18019

Tutela della privacy - Codice in materia di protezione dei dati personali e rapporto di lavoro - D.lgs. 30 giugno 2003, n. 196 - Circolare illustrativa


Diritti del cittadino - trattamento dei dati personali - tutela della privacy - codice in materia di protezione dei dati personali e rapporto di lavoro - D.lgs. 30 giugno 2003, n. 196 - circolare illustrativa


Indice

a   Rapporto di lavoro - Disciplina generale

b   Premessa

c   Gruppo europeo

d   Codici deontologici

e   Definizioni

f   - I dati giudiziari

g   - L'incaricato

h   - La comunicazione

i   - La banca dati

j   Esercizio dei diritti da parte dell'interessato

k   Informativa

l   Trattamento che presenta rischi specifici

m   Consenso

n   Dati comuni

o   Dati sensibili

p   - Il medico competente

q   Notificazioni

r   Rapporto di lavoro - Disciplina specifica

s   Codice di deontologia per il trattamento di dati personali in materia di rapporto di lavoro

t   - I curricula raccolti tramite annunci di lavoro

u   - I curricula inviati spontaneamente

v   Artt. 4 e 8, l. n. 300 del 1970 nel Codice per la protezione dei dati personali

w   - Le interazioni tra la normativa sulla privacy e lo Statuto dei lavoratori

x   - Il principio della necessità del trattamento

y   Controllo a distanza dei lavoratori

z   Policy aziendali

aa   Altre disposizioni in materia di lavoro

RAPPORTO DI LAVORO - DISCIPLINA GENERALE

PREMESSA

Il Codice sulla protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, in seguito denominato "Codice") rappresenta il punto di arrivo di un percorso normativo iniziato nel 1996, allorquando è stata varata le prima legge italiana di carattere generale sul trattamento dei dati personali (l. 675/96), insieme ad una legge delega sempre sulla medesima materia (l. 676/96) (1)

Da allora ad oggi si sono susseguiti nove decreti legislativi, due decreti presidenziali ed una serie di disposizioni legislative e regolamentari che costituiscono un articolato complesso normativo volto a disciplinare la materia del trattamento dei dati personali sotto una serie di diversi profili.

Il 31 dicembre 2001, scaduti i termini per adottare decreti legislativi integrativi e correttivi della delega (art. 1, l. 24 marzo 2001, n. 127), viene emanata una nuova delega diretta all'adozione di un testo unico (art. 26, l. 3 febbraio 2003, n. 14). È importante sottolineare che oggetto della delega non sono solamente le disposizioni sul trattamento dei dati personali, ma anche quelle "connesse". La finalità è il coordinamento delle norme vigenti, con l'apporto delle integrazioni o modificazioni necessarie per migliorarne l'attuazione e portare così a termine l'opera di snellimento in precedenza avviata dal decreto legislativo n. 467 del 2001 (cfr. nostra circolare n. 16905 del 29 gennaio 2002).

Come anticipato, non si tratta di un testo unico meramente compilativo, in quanto esso può contenere anche delle modificazioni rispetto alla normativa vigente, purché - ed è questo l'aspetto più rilevante - nel rispetto delle scelte di fondo già ponderate dal Parlamento, cioè nel rispetto dei principi e criteri direttivi delle deleghe già emanate a partire dal 1996.

Il Codice si compone di 186 articoli suddivisi in tre parti che contengono rispettivamente: le disposizioni generali riguardanti le regole sostanziali applicabili a tutti i trattamenti, salvo alcune norme rivolte ai soggetti pubblici o privati; le disposizioni inerenti agli specifici trattamenti; le disposizioni relative alle azioni di tutela dell'interessato ed al sistema sanzionatorio.

Ai trattamenti di dati relativi alla gestione del rapporto di lavoro si applicano, dunque, tanto le disposizioni contenute nella Parte I del Codice (Disposizioni generali), quanto quelle ulteriori richiamate nel Titolo VIII (Lavoro e previdenza sociale) delle disposizioni integrative o modificative della Parte II (Disposizioni relative a specifici settori).

GRUPPO EUROPEO

Prima di passare alla illustrazione delle norme codicistiche che hanno innovato in tema di trattamento di dati personali nel rapporto di lavoro, è bene rammentare quanto già espresso dal Gruppo di lavoro "Articolo 29" nel parere n. 8/2001, adottato il 13 settembre 2001 e relativo al trattamento dei dati nel contesto lavorativo.

Il Gruppo europeo di cui all'art. 29 della Direttiva 95/46/CE - relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati - è composto da rappresentanti dei Garanti della protezione dei dati degli Stati membri.

Il Gruppo, avente carattere consultivo e indipendente, ha tra l'altro il compito di esaminare ogni questione attinente l'applicazione delle norme nazionali di attuazione della Direttiva relativa alla tutela dei dati, per contribuire alla loro applicazione omogenea (i pareri del gruppo sono consultabili sul sito: www.europa.eu.int).

Orbene, secondo il Gruppo europeo, per quanto concerne gli aspetti relativi alla protezione dei dati personali nei luoghi di lavoro, la vera questione non è di sapere se tali trattamenti siano leciti o meno, bensì di stabilire i limiti [procedurali] che la disciplina sulla protezione dei dati impone a tali trattamenti.

Fermi questi aspetti, va da sé che il diritto alla protezione dei dati e il diritto del lavoro non operano separatamente e senza reciproche interferenze.

L'interazione è necessaria e apprezzabile dovendo contribuire allo sviluppo di soluzioni che proteggano adeguatamente tanto gli interessi dei lavoratori, quanto quelli dei datori di lavoro.

Il diritto alla riservatezza non è un diritto assoluto. Esso deve essere bilanciato con altri diritti, libertà o interessi legittimi. Tale principio si applica anche nel contesto lavorativo.

Allorquando si faccia parte di una organizzazione complessa - prosegue il Gruppo -, i lavoratori devono accettare necessariamente un certo grado di intrusione nella loro sfera privata e devono condividere certe informazioni personali con il datore di lavoro. Quest'ultimo, d'altro canto, ha un interesse legittimo nel trattare dati personali dei dipendenti per ragioni conformi alla legge necessarie al normale sviluppo del rapporto di lavoro ed alle altre operazioni dell'azienda.

CODICI DEONTOLOGICI

Il rispetto delle disposizioni dei Codici di deontologia e di buona condotta resta, per espressa previsione di rango legislativo introdotta da precedenti decreti legislativi, "essenziale" per determinare la liceità del trattamento dei dati personali ivi disciplinato, sebbene i codici continueranno a venire a giuridica esistenza - e ad essere eventualmente emendati - secondo i noti meccanismi procedurali non legislativi già osservati, che coinvolgono le entità maggiormente rappresentative del settore considerato (art. 12).

DEFINIZIONI

Con il Codice vengono riorganizzate le definizioni, intanto per concentrarle tutte nel Titolo I della Parte I e, comunque, per rivederne taluni contenuti.

I dati giudiziari

Tra le novità presenti nel Codice si segnala la nuova, più ampia definizione, di "dati giudiziari":

i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) ad o) e da r) ad u), del d.p.r. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del c. p.c.

La definizione (art. 4, lett. d) è stata aggiornata tecnicamente a seguito dell'adozione del testo unico in materia di casellario giudiziale.

In proposito val la pena precisare che, quanto alle modalità dettate per il trattamento di tali dati (art. 27), permane la disciplina previgente. Il trattamento, dunque, potrà continuare ad effettuarsi senza obbligo della richiesta del consenso all'interessato ma, comunque, sempre in presenza di espressa disposizione di legge o provvedimento del Garante, che specifichino le rilevanti finalità di interesse pubblico del trattamento stesso.

Per coloro che, confidando sul provvedimento generale del Garante (v. Autorizzazione generale n. 7/2002), hanno ad esso sino ad oggi fatto riferimento, si rammenta che fino al 30 giugno 2004 (ovverosia sino a quando non verranno rinnovate le vigenti Autorizzazioni), non potranno avvalersi delle novità sul punto introdotte dall'art. 4, lett. d), Codice, se non dietro richiesta al Garante di autorizzazione specifica (v. artt. 40 e 41, Codice). L'Autorizzazione n. 7/2002 copre invero solo i trattamenti di dati giudiziari ammessi dalla precedente disciplina (art. 24, l. 675/1996, testo mod.).

In attesa, infatti, dell'entrata in vigore del Codice, il Garante aveva differito sino alla predetta data l'efficacia delle Autorizzazioni generali, rilasciate il 31 gennaio 2002. Il differimento era stato disposto con Deliberazione del 24 giugno 2003 (in Gazz. Uff. n. 191 del 19 agosto 2003).

L'incaricato

Da segnalare anche la nuova definizione di "incaricato":

le persone fisiche, autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

Nella previgente disciplina l'individuazione dell'incaricato era indirettamente ricavabile dagli artt. 8, comma 5 e 19, l. 675/96, testo mod.

Le vecchie disposizioni non chiarivano tuttavia la circostanza che possono essere individuati come incaricati solo le persone fisiche e non anche le persone giuridiche.

Il Codice interviene in proposito, confermando peraltro quanto sul punto più volte espresso dall'Authority in pareri resi sull'argomento.

Ma altre novità, relativamente alla figura dell'interessato, sono accolte nel Codice.

In primo luogo, in maniera più incisiva, il Codice precisa (art. 30) che le operazioni di trattamento possono essere effettuate "solo" da incaricati che operano sotto la diretta autorità del titolare o del responsabile (ad esempio: dipendenti e collaboratori), attenendosi - come già nella previgente disciplina - alle istruzioni impartite.

Secondariamente vengono dettate norme specifiche circa la loro designazione, la quale deve essere effettuata per iscritto e deve "individuare puntualmente l'ambito del trattamento consentito". In tale ipotesi la mera coincidenza - operata dall'azienda - tra le mansioni assegnate al dipendente ed i trattamenti di dati ad esse strettamente connesse non appare rispondente al dettato normativo, ove viene invece in evidenza l'individuazione "puntuale" da parte del titolare o del responsabile del trattamento dell'ambito del trattamento consentito. In base alla disposizione in esame occorrerà pertanto individuare per iscritto il menzionato ambito di intervento e non sarà dunque sufficiente il mero ricorso a mansionari, job description, etc...ove carenti del requisito richiesto.

Tale lettura interpretativa risulta confermata dalla successiva previsione, contenuta nella stessa norma, in base alla quale, ai fini della designazione dell'incaricato del trattamento "si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima." Tale previsione consente di effettuare la designazione anche attraverso documenti aziendali di nomina aventi valenza generalizzata nei confronti di determinate categorie di dipendenti appartenenti al medesimo settore o ramo aziendale, qualora l'ambito di trattamento eseguito sia a questi comune.

Da tale disposizione traspare evidente la volontà del legislatore di individuare soluzioni atte a favorire la generalità delle aziende. Essa prende, tuttavia, in considerazione una organizzazione statica dell'attività lavorativa, lontana da quel processo di "adattabilità" invece più volte auspicato dalla Comunità europea, diretto ad assecondare le mutevoli situazioni organizzative che accompagnano la prestazione lavorativa.

La comunicazione

Merita anche di essere segnalata la nuova definizione della "comunicazione":

il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

La norma conferma la previgente disciplina quanto alla esclusione dal concetto della "comunicazione" della conoscenza dei dati da parte degli incaricati del trattamento estendendo la portata del principio agli altri soggetti richiamati dalla stessa. Obiettivo della disposizione è quello di restringere ulteriormente l'obbligo della richiesta del consenso alla comunicazione (del quale tratteremo più avanti) riconducendolo alle ipotesi indispensabili.

La banca dati

Di rilievo anche la nuova definizione della "banca di dati":

qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

La previgente disciplina aggiungeva a tali requisiti un ulteriore elemento: il complesso di dati doveva essere "organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento". La previsione - di difficile attuazione - ha portato il legislatore a restringerne i contenuti, limitandoli a quelli ora richiamati nel Codice.

ESERCIZIO DEI DIRITTI DA PARTE DELL'INTERESSATO

L'art. 7 del Codice conferma il diritto di accesso da parte dell'interessato ai propri dati personali nonché il riconoscimento di altri diritti lasciando al successivo articolo 8 la disciplina per il relativo esercizio.

Tra le novità introdotte dall'art. 8 assume particolare rilievo quella di cui al comma 4

L'esercizio dei diritti di cui all'art. 7, quando non riguarda dati di carattere oggettivo, può aver luogo salvo che concerna la rettificazione o l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o altri apprezzamenti di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.

La norma nasce dalla necessità di disciplinare la materia, ponendo fine ad un contrasto di opinioni sorto tra le decisioni emanate sul punto dal Garante ed i principi espressi da talune sentenze di merito (per le pronunce del Garante v.: decisione del 2 giugno 1999; newletter del Garante n. 46 del 19-26 giugno 2000; decisione dell'11 gennaio 2001, in Bollettino del Garante del 16 gennaio 2001, pag. 25. Per la contraria giurisprudenza di merito v. Trib. Fermo 26 ottobre 1999, in "Not. giurisp. lav." 1999, n. 626 e Trib. Roma 5 luglio 2000, inedita le quali hanno annullato le impugnate decisioni del Garante).

Con l'art. 8 viene stabilito che l'esercizio dei diritti di cui all'art. 7 può aver luogo anche quando riguarda dati di carattere soggettivo. Tuttavia, precisa la norma, se tali dati sono di tipo valutativo (ovverosia relativi a giudizi, opinioni o altri apprezzamenti di tipo soggettivo), devono essere comunicati - ove richiesti - all'interessato ma su di essi non è consentita alcuna rettifica o integrazione da parte di quest'ultimo. L'art. 7 non è invece, comunque, attivabile nei confronti dei "dati relativi alla indicazione delle condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento" in quanto non ancora catalogabili - secondo le indicazioni ricavabili dallo spirito della norma - tra i dati di tipo soggettivo, in quanto inidonei ad incidere direttamente sul lavoratore.

Pertanto, mentre non è posto in discussione il diritto di accesso a tutti i dati personali di carattere soggettivo, ossia i dati consolidati e definiti che costituiscono la base della valutazione, viene invece stabilito che quest'ultima non può essere integrata o rettificata ad opera dell'interessato.

Viene inoltre escluso il diritto di accesso nei confronti dei giudizi, delle opinioni e delle valutazioni che non incidono direttamente sul lavoratore, in quanto preliminari alle decisioni che debbono essere prese dall'azienda.

L'interessato può dunque in proposito chiedere di accedere soltanto all'atto finale assunto dal datore di lavoro, perché in quel caso si è di fronte ad una determinazione (pur costituita da giudizi) finale e definitiva che - quella sì - interessa direttamente il lavoratore.

In tal modo risulta meglio precisata la nozione di "dato personale", il quale viene considerato come tale e, quindi, pertinente al destinatario oggetto del giudizio e della valutazione, soltanto quando ha le caratteristiche della conclusività, escludendo - appunto - la qualifica di dato personale al giudizio finalizzato all'indicazione di una condotta dell'impresa.

In quest'ultimo caso quel giudizio va, pertanto, considerato oggetto di tutela della riservatezza di chi ha effettuato la valutazione. Resta quindi escluso dall'accesso in quanto non è di diretta influenza nei confronti della valutazione del lavoratore.

Il legislatore ha, dunque, operato un equilibrato bilanciamento degli interessi, contemperando le esigenze di cui è portatore chi opera la valutazione con quelle del soggetto nei cui confronti viene espresso il giudizio.

INFORMATIVA

Nell'ambito delle novità introdotte in materia di informativa (art. 13), di sicuro rilievo è quella che impone l'obbligo di indicare i soggetti o le categorie di soggetti che possono venire a conoscenza dei dati personali in qualità di responsabili o di incaricati del trattamento.

La norma è diretta a completare il "vuoto informativo" determinato dalle previgenti disposizioni ove, a fronte dell'obbligo di informare gli interessati circa i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati, non altrettanto si prevedeva relativamente ai soggetti o categorie di soggetti che, ancorché a conoscenza dei dati personali, non rientrano tuttavia, per definizione (v. sopra), tra coloro ai quali i dati stessi vengono comunicati.

In sede di prima lettura della norma ed in attesa di ricevere maggiori indicazioni sul punto da parte del Garante stesso, si ritiene possibile sostenere che, in ambito aziendale (ove gli incaricati sovente risultano essere gli stessi prestatori di lavoro), il richiamo nell'informativa agli incaricati possa validamente effettuarsi anche attraverso il mero rinvio a coloro i quali genericamente svolgono la propria attività all'interno dell'azienda stessa. In tal caso la "categoria" verrebbe ricondotta a quei soggetti i quali prestano attività lavorativa all'interno dell'azienda. L'azienda potrà eventualmente valutare se circoscrivere ulteriormente tale categoria, richiamando ad esempio espressamente solo coloro che prestano lavoro subordinato.

La possibilità, poi, offerta dalla norma di potersi avvalere della mera indicazione per "categoria di soggetti" lascia presupporre l'estraneità dalla stessa della necessità di aggiornare tale dato.

L'informativa, oltre a dover comprendere gli ulteriori elementi previsti da specifiche disposizioni del Codice, dovrà altresì indicare - ove il titolare del trattamento abbia in tal senso previsto - il responsabile preposto al riscontro all'interessato in caso di esercizio dei diritti di cui all'art. 7 (sui Diritti di accesso ai dati personali ed altri diritti ivi richiamati).

TRATTAMENTO CHE PRESENTA RISCHI SPECIFICI

L'art. 17 per il quale:

  1. Il trattamento di dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti.
  2. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente Codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare ripropone nella sostanza quanto prima previsto dall'art. 24 bis l. 675/96, testo mod. Permangono pertanto sulla norma tutti i dubbi di costituzionalità che possono derivare da una "norma in bianco", quale quella di cui ci stiamo occupando, accompagnata da sanzione penale (v. art. 167 del Codice il quale prevede, sia pure limitatamente alle ipotesi in cui ricorra il dolo specifico, la reclusione da uno a tre anni).

CONSENSO

L'art. 23 riassume le regole che governano la disciplina del consenso nell'ambito tanto dei dati comuni quanto dei dati sensibili. Nella sostanza il Codice conferma il previgente impianto normativo, preoccupandosi tuttavia di chiarire meglio che il consenso al trattamento dei dati personali deve essere "specifico" e non solo reso in "in forma specifica" (come nella previgente disciplina). In buona sostanza il consenso dovrà ora essere espresso "specificamente in riferimento ad un trattamento chiaramente individuato".

DATI COMUNI

Nell'ambito dei dati comuni la disciplina del consenso ha subito rilevanti modifiche, essendo stata eliminata la necessità di un consenso specifico per le ipotesi di comunicazione e diffusione dei dati. Permane l'obbligo della richiesta del consenso relativamente, invece, alle - davvero poche - ipotesi di comunicazione e diffusione espressamente richiamate nell'art. 24.

Nell'art. 24 sono state riunite, in ragione della sostanziale omogeneità della disciplina, le disposizioni che autorizzano il trattamento di dati personali anche in assenza del consenso, unificando, in sostanza, i previgenti artt. 12 e 20 della l. 675/96, testo mod.

La disciplina del consenso per i dati comuni risulta ora più chiara, essendo state eliminate alcune duplicazioni ed apportate opportune precisazioni. In particolare, per i profili che interessano la presente trattazione, si segnala:

- in relazione alla lettera a), art. 24, in base alla quale il consenso non è richiesto quando il trattamento "è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria." è stato meglio specificato il presupposto di liceità del trattamento relativo alla sussistenza di un obbligo legale, riferito ora correttamente alla necessità di adempiere comunque ad un obbligo previsto dalla legge, e non più solo al caso di "dati raccolti e detenuti" in base al medesimo obbligo;

- in relazione alla lettera b) secondo la quale il consenso non è richiesto quando il trattamento "è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato." è stato chiarito, in sintonia con il diritto vigente, che il trattamento è consentito quando è comunque necessario per adempiere, prima della conclusione del contratto, a "specifiche richieste" dell'interessato e non solo per eseguire "misure" precontrattuali su richiesta del medesimo.

In proposito val la pena rammentare la decisione resa dal Garante il 10 gennaio 2002 (in Guida normativa 2002, n. 92, 22) in tema di dati trattati da società che curano la selezione del personale attraverso annunci di lavoro pubblicati su quotidiani e periodici.

In base a tale pronuncia, i dati comuni inviati tramite curriculum rientrano nella esimente di cui alla lett. b) art. 12, l. 675/96, testo mod. (ora lett. b) dell'art. 24). Poiché non si intravvedono ragioni contrarie, si ritiene di poter esprimere l'opinione che tale principio possa essere esteso a tutte le ipotesi di invio di dati comuni tramite curriculum (anche dunque alle ipotesi in cui tali dati vengano raccolti da soggetti diversi dalle società di ricerca del personale) nonché alla nuova, ma non certo diversa, formulazione della norma adottata dal Codice.

Vedremo invece più avanti che l'esimente dall'obbligo del consenso sui dati personali inviati tramite curriculum non è riproducile con riferimento ai dati sensibili, non essendo l'ipotesi espressamente prevista dall'art. 26, lett. d), Codice;

- in relazione alla lettera h) la quale dispone che con esclusione della comunicazione all'esterno e della diffusione, il consenso non è richiesto quanto il trattamento "è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'art. 13." l'esonero dal consenso è stato esteso ai trattamenti in ambito "interno" effettuati da organismi "no-profit" anche in relazione a dati comuni, in conformità a quanto già previsto per i dati sensibili (art. 22, l. 675/96, testo mod.).

La norma prende in considerazione tanto i dati relativi agli associati/iscritti (ivi inclusi quelli relativi alle persone fisiche che li rappresentano), quanto i dati relativi a soggetti che hanno contatti regolari con le predette associazioni, enti od organismi.

Su quest'ultimo punto l'individuazione dei soggetti è data, in via indiretta, dal richiamo - operato dalla norma - ai motivi che sorreggono tali contatti, circoscritti al "perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo".

I soggetti in esame, pertanto, sono coloro che - pur non aderenti/iscritti - hanno contatti regolari con gli organismi no-profit per motivi legati al perseguimento di scopi previsti dall'atto costitutivo, dallo statuto o dal contratto collettivo.

A ulteriore garanzia dell'interessato, il legislatore richiede tuttavia che il titolare del trattamento provveda altresì ad indicare espressamente, all'atto dell'informativa, le modalità di utilizzo del dato personale.

DATI SENSIBILI

Per quanto riguarda i casi in cui il trattamento è consentito anche senza il consenso dell'interessato, previa autorizzazione del Garante, si evidenzia:

con riferimento alla lett. a), comma 4, art. 26, secondo la quale si rientra nell'esimente allorquando "il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente i dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'art. 13" che la disciplina dei trattamenti effettuati da organismi senza scopo di lucro - analogamente a quanto sopra descritto in relazione al trattamento di dati comuni - è stata adeguata (rispetto all'art. 22, l. n. 675/96, testo mod.) ad un criterio di maggior garanzia e trasparenza prevedendo che tali organismi individuino con espressa determinazione le modalità di utilizzo di tali dati, rendendola nota agli interessati all'atto dell'informativa;

relativamente alla successiva lett. d), in base alla quale si rientra nell'esimente allorquando il trattamento "è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'art. 111" che l'ipotesi è stata introdotta, in attuazione di una specifica disposizione della Direttiva comunitaria (art. 8, par. 2, lett. b), Direttiva 95/46/CE), quale ulteriore presupposto di liceità del trattamento in relazione a ciò che è necessario per adempiere a specifici obblighi previsti dalla normativa, anche comunitaria, in materia di gestione del rapporto di lavoro, nei limiti previsti dall'Autorizzazione del Garante e ferme restando le condizioni dell'emanando Codice di deontologia e di buona condotta.

La disposizione, tuttavia, non richiama le norme di contratto. Pertanto, in ipotesi di obblighi direttamente derivati dalla contrattazione collettiva o individuale e, dunque, non originati dalla legge, l'esimente di cui alla lett. d) appare inapplicabile.

Come sopra accennato, si richiama l'attenzione sulla circostanza che la norma non prende neppure in considerazione gli obblighi derivanti dalle "fasi precontrattuali", invece espressamente richiamata, quale ipotesi che esime dall'obbligo della richiesta del consenso sui dati comuni, dall'art. 24, lett. b).

È questa, tuttavia, l'unica norma del codice che, relativamente alla gestione privata del rapporto di lavoro, richiama espressamente la materia della igiene e sicurezza del lavoro. Tale richiamo offre lo spunto per ribadire quanto già espresso con nostra circolare n. 14901 del 16 dicembre 1997 relativamente ai dati trattati dal "medico competente" istituito ai sensi dell'art. 17, d.lgs. 626/94.

Il medico competente

Sul punto ci si domanda, in particolare, se il "medico competente" possa considerarsi "titolare" del trattamento di dati relativo agli accertamenti sanitari di cui all'art. 16, d.lgs. 626/94.

Le norme sulla attività di sorveglianza sanitaria previste dagli artt. 16 e 17 d.lgs. 626/94 sembrano per alcuni versi coordinarsi perfettamente con il Codice, attribuendo ex lege al "medico competente" (anche se dipendente) la funzione di titolare del trattamento.

Invero, la sorveglianza sanitaria (comprendente accertamenti preventivi e periodici), che l'art. 16, cit., rimette al "medico competente", comprende anche, in base al successivo art. 17, l'istituzione e l'aggiornamento, a cura del medico in parola, di un vero e proprio trattamento di dati personali (peraltro "sensibili") dei lavoratori, del quale il medico è altresì responsabile ex lege.

In ordine alla richiamata responsabilità, questa non appare trasferibile neppure al datore di lavoro che non potrà, quindi, essere chiamato a rispondere in solido della mancata od errata istituzione e/o aggiornamento della cartella sanitaria e di rischio.

La circostanza poi che le cartelle in parola debbano essere custodite presso il datore di lavoro non implica la conoscenza da parte di quest'ultimo delle diagnosi ivi riportate, invece espressamente negata dalla norma da ultimo richiamata che al suo comma 1, lett. d) impone al medico competente la "salvaguardia del segreto professionale" e successivamente confermata dall'obbligo di comunicare, ai rappresentanti per la sicurezza i risultati anonimi collettivi (v. art. 17, comma 1, lett. g) nonché dall'obbligo ulteriore di informare per iscritto il datore dell'eventuale giudizio di inidoneità parziale o temporale o totale del lavoratore, accertata in occasione delle visite periodiche (cfr. art. 17, comma 3).

Le considerazioni sopra espresse appaiono sufficienti a far ritenere che il medico in parola sarà, pertanto, colui che assumerà ex lege le funzioni del titolare (ovverosia della persona fisica cui competono, ex art. 4, comma 1, lett. f), Codice, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza).

Le conclusioni raggiunte non mutano di fronte alla circostanza che il medico competente svolga la propria opera in qualità di dipendente dell'impresa, atteso che le indicazioni contenute nei citati artt. 16 e 17 valgono anche per l'ipotesi in parola, senza che l'elemento della subordinazione possa mettere in discussione la pienezza dei poteri che allo stesso derivano dall'espletamento dei compiti assegnatigli i quali, al contrario, risultano ulteriormente protetti e garantiti dal comma 6, dell'art. 17, cit., secondo il quale: "qualora il medico competente sia dipendente del datore di lavoro, questi gli fornisce i mezzi e gli assicura le condizioni necessarie per lo svolgimento dei suoi compiti", norma tutt'al più idonea a radicare un obbligo solidale in tema di sola sicurezza dei dati.

Quanto sopra trova implicita conferma nei chiarimenti resi, in tema di notificazioni, dal Garante attraverso una nota del 23 aprile 2004 indirizzata a taluni soggetti, titolari di trattamenti. In tale nota e con riferimento all'esonero di cui al comma 1, lett. a) dell'art. 37, Codice, il Garante afferma che, in ordine ai trattamenti relativi a dati genetici e biometrici, l'esonero dalla notificazione opera, alle condizioni richiamate dalla norma, anche per l'attività svolta da medici titolari di un trattamento in materia di igiene e sicurezza del lavoro.

Resta, tuttavia, da verificare, se il Codice imponga al medico in parola l'osservanza di ulteriori specifici obblighi, oltre quelli generali dettati per i trattamenti di dati personali.

Al riguardo si è propensi a ritenere che - ad esclusione del regime del consenso per il quale v. l'art. 26, comma 4, lett. d) - ad esso debba applicarsi anche il Titolo V sul trattamento dei dati personali in ambito sanitario, rivolto anche agli esercenti le professioni sanitarie, nei quali rientra, salvo contrario avviso, anche il medico competente.

Posta, tuttavia, la novità introdotta dall'art. 26, comma 4, lett. d), Codice, il previsto rinnovo delle Autorizzazioni generali (la cui efficacia verrà meno il 30 giugno 2004) potrebbe costituire l'occasione per tornare sul tema attraverso l'introduzione di modifiche di chiarimento, specie al punto 1) dell'Autorizzazione generale n. 1/2002.

NOTIFICAZIONI

L'art. 37 del Codice completa l'intervento di semplificazione e razionalizzazione del sistema delle notificazioni già avviato dal d.lgs. 467/2001.

Con le modifiche apportate si snelliscono gli adempimenti anche in favore dei soggetti privati. Si prevede infatti l'individuazione di un elenco "in positivo" di un numero più ristretto di categorie di trattamenti soggetti a notificazione, modificando il precedente impianto della normativa che, come è noto, prevedeva un obbligo più ampio di effettuare la notificazione e individuava, poi, alcuni casi di esonero dall'obbligo o forme semplificate di notificazione.

Il Codice nel completare, come si è detto, l'intervento normativo avviato dal d.lgs. 467/2001, che aveva individuato le linee generali del nuovo sistema e demandato ad un regolamento governativo la determinazione dei casi e delle modalità della notificazione, individua in positivo le tipologie dei trattamenti oggetto di notificazione al Garante in quanto suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità e della natura dei dati personali (comma 2, art. 37).

A completamento del sistema si ritiene che il Garante possa prevedere con proprio provvedimento (adottato anche in sede di controllo preliminare secondo le indicazioni contenute nell'art. 17, relativo a trattamenti che presentano "rischi specifici". V. sopra) che siano soggetti a notificazione anche altri trattamenti in ragione del rischio derivante per i diritti dell'interessato (comma 2, art. 37).

Il titolare del trattamento, pertanto, deve provvedere alla notifica nei soli casi previsti dall'art. 37, con un adempimento richiesto una tantum (salvo, ovviamente, l'obbligo di notificare le eventuali modifiche del trattamento o la sua cessazione) e sempre con un unico atto anche quando il trattamento comporta un trasferimento di dati all'estero (il Codice ha infatti eliminato l'obbligo di effettuare una specifica notifica per i dati destinati all'estero).

Le notificazioni sono inserite nel registro dei trattamenti tenuto dal Garante, consultabile da chiunque.

Il titolare del trattamento, non tenuto all'obbligo di notificazione ai sensi dell'art. 37, deve fornire all'interessato, ad eventuale richiesta, le notizie contenute nel modello predisposto per le notificazioni, salvo che il trattamento riguardi registri o elenchi pubblici.

Per le ipotesi di notificazione relative a trattamenti di dati concernenti il rapporto di lavoro, si rinvia alle nostre circolari: n. 17936 del 5 aprile 2004; n. 17960 del 26 aprile 2004; n. 17971 e 17972 del 29 aprile 2004.

RAPPORTO DI LAVORO - DISCIPLINA SPECIFICA

CODICE DI DEONTOLOGIA PER IL TRATTAMENTO DI DATI PERSONALI IN MATERIA DI RAPPORTO DI LAVORO

La disciplina specifica in materia di lavoro e previdenza sociale è contenuta negli articoli del Codice che vanno dall'art. 111 all'art. 116, dove l'art. 112 è tutto dedicato ai trattamenti effettuati da parte di soggetti pubblici.

L'art. 111 per il quale "il Garante promuove, ai sensi dell'art. 12, la sottoscrizione di un Codice di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento di dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l'informativa all'interessato e per l'eventuale prestazione del consenso relativamente agli annunci per finalità di occupazione di cui all'art. 113, comma 3 e alla ricezione di curricula contenenti dati personali anche sensibili" rinvia, quanto alla disciplina dei Codici deontologici, alle disposizioni contenute all'art. 12.

Come già accennato, i Codici, allorquando emanati, avranno efficacia vincolante generalizzata, anche nei confronti di coloro che non li hanno sottoscritti.

I Codici, infatti, saranno pubblicati nella Gazzetta Ufficiale a cura del Garante e, con Decreto del Ministro della Giustizia, verranno riportati nell'allegato A) del Codice sulla protezione dei dai personali il quale, peraltro, già contiene: il Codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica; il Codice di deontologia e di buona condotta per il trattamento di dati personali per scopi storici; il Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del sistema statistico nazionale.

Il rispetto delle disposizioni, contenute nell'emanando Codice deontologico sui trattamenti di dati relativi alla gestione del rapporto di lavoro, costruirà, quindi, condizione essenziale per la liceità e correttezza del trattamento dei dati personali.

L'art. 111 impropriamente rinvia anche all'art. 113, comma 3. Tale comma, assente dal Codice, è stato invero stralciato dall'articolato nel corso del suo iter di approvazione, allorquando era all'esame del Parlamento e delle istituzioni anche la Riforma del mercato del lavoro (d.lgs. 276/2003).

La predetta disposizione, appartenente in origine al Codice (nel quale è rimasto al Capo II del Titolo VIII il riferimento agli "Annunci di lavoro") è stata fedelmente "trasferita" all'art. 9, comma 3, d.lgs. 276/2003 il quale dispone che se le inserzioni per la ricerca di personale "sono effettuate mediante annunci pubblicati su quotidiani e periodici o mediante reti di comunicazione elettronica, e non recano un facsimile di domanda comprensivo dell'informativa di cui all'art. 13, d.lgs. 196/2003, indicano il sito della rete di comunicazione attraverso il quale il medesimo facsimile è conoscibile in modo agevole."

Non siamo in presenza di indicazioni nuove. Il Garante invero già nella pronuncia 10 gennaio 2002 (in allegato) si era espresso in tal senso affermando che la ricezione di in un curriculum sollecitato tramite il ricorso ad annunci di lavoro pubblicati su quotidiani o periodici comporta una successiva raccolta di dati personali rispetto alla quale l'interessato deve essere previamente informato delle caratteristiche del trattamento di dati che lo riguarda (v. informativa), a prescindere dalla circostanza che sia necessario raccogliere il suo consenso o che la selezione abbia un esito positivo.

Pertanto, se il titolare del trattamento non fornisce la prescritta informativa al momento in cui richiede l'invio dei curricula, proprio in ragione della peculiare modalità utilizzata (annuncio di lavoro pubblicato su giornali), si trova nella condizione di non poter adempiere correttamente all'obbligo di informare gli interessati.

Ai fini dell'osservanza dell'obbligo dell'informativa - osserva il Garante - si rivelerebbe inutile, perché oramai tardiva, un'informativa successiva al conferimento dei dati già effettuato, su invito del titolare, con l'invio dei curricula.

Nel rispetto dei principi di lealtà e di correttezza del trattamento, occorre quindi assicurare che i candidati siano informati già al momento della pubblicazione degli annunci in ordine alle principali caratteristiche del trattamento dei dati richiesti.

È peraltro possibile evitare - suggerisce il Garante - l'inserimento dell'intera informativa direttamente nell'annuncio, per motivi di spazio, rendendo però agevolmente disponibili agli interessati, prima del conferimento dei dati, informazioni più dettagliate su un indirizzo web indicato nell'annuncio o mediante altre idonee modalità alternative (quale ad esempio un messaggio telefonico pre-registrato).

Con l'art. 111 il legislatore dichiara che il Codice deontologico ivi richiamato conterrà anche "specifiche modalità per l'informativa all'interessato e per l'eventuale prestazione del consenso" relativamente:

- alla pubblicazione degli annunci per finalità di occupazione di cui all'art. 113, comma 3;
- alla ricezione di curricula contenenti dati personali anche sensibili.

Trattasi di ipotesi diverse ma analoghe, le quali comunque hanno già ricevuto una loro disciplina - si pure non di legge - attraverso le pronunce rese sul tema dal Garante.

I curricula raccolti tramite annunci di lavoro

È sempre la pronuncia 10 gennaio 2002 a venire incontro agli operatori del settore ed a chiarire che, relativamente agli annunci pubblicati per finalità di occupazione, occorre, attraverso l'informativa permettere ai candidati interessati di comprendere i seguenti aspetti:

- l'identità del/i titolare/i del trattamento dei dati riportati nei curricula e le finalità e modalità del medesimo trattamento, specificando se vi siano ulteriori finalità oltre quelle connesse alla specifica ricerca di personale, o particolari modalità di organizzazione, di raffronto o di elaborazione dei dati. Devono essere altresì indicati i tempi di conservazione i quali devono risultare brevi e proporzionati rispetto alle finalità e modalità del trattamento;

- l'eventualità che i dati siano divulgati a terzi, individuati almeno per categorie;

- la circostanza che il conferimento dei dati è facoltativo e che la mancata indicazione di alcuni di essi può avere determinate conseguenze, invitando ad omettere dati non pertinenti in relazione all'offerta di lavoro e manifestare per scritto il consenso al trattamento di dati sensibili (ad esempio per quanta riguarda l'appartenenza a particolari categorie protette);

- una descrizione dei diritti riconosciuti al candidato interessato;

- i dati identificativi di almeno un responsabile del trattamento, ove questi sia designato (preferibilmente indicato nel soggetto preposto ai rapporti con gli interessati).

I curricula inviati spontaneamente

La medesima pronuncia interviene anche in ordine ai curricula inviati spontaneamente (senza rispondere ad annunci o ad avvisi).

In questa ipotesi - afferma il Garante - la raccolta dei dati conseguente alla ricezione del curriculum non avviene su iniziativa del titolare del trattamento, che, in questo caso, si trova nell'impossibilità di fornire una previa informativa, né può acquisire in anticipo il consenso eventualmente necessario alla luce dell'inclusione nel curriculum di alcuni dati sensibili (come, ad esempio, l'appartenenza a particolari categorie protette).

Sul punto, ed in vista della predisposizione delle citate disposizioni deontologiche, il Garante invita intanto gli operatori interessati ad adempiere comunque, senza ritardo, agli obblighi dell'informativa - e di richiesta di eventuale consenso - in caso di successivo trattamento dei dati contenuti nei curricula ricevuti.

Quest'ultima precisazione lascerebbe intendere che, nell'ipotesi invece in cui si proceda alla distruzione del curriculum, senza quindi operare alcun trattamento sui dati ricevuti, non ricorrono gli obblighi imposti dalla normativa sulla protezione dei dati personali.

Per i profili relativi all'obbligo della richiesta del consenso da parte delle agenzie per il lavoro si rinvia a quanto già detto a proposito tanto dei dati comuni quanto dei dati sensibili.

ARTT. 4 E 8, L .N. 300 DEL 1970 NEL CODICE PER LA PROTEZIONE DEI DATI PERSONALI

Le interazioni tra la normativa sulla privacy e lo Statuto dei lavoratori

Tanto l'art. 113 (sulla Raccolta di dati e pertinenza) per il quale "Resta fermo quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300", quanto l'art. 114 (sul Controllo a distanza) >per il quale "Resta fermo quanto disposto dall'art. 4 della legge 20 maggio 1970, n. 300" contenevano, nella loro originaria formulazione, le integrali disposizioni richiamate negli articoli 8 e 4, Stat. lav. i quali venivano allo stesso tempo tolti dal loro alveo naturale (quello della disciplina dello Statuto dei lavoratori) attraverso la espressa abrogazione, ad opera del Codice (trattavasi dell'art. 183, comma 3, lett. b), dei predetti articoli (cfr., sul punto, nostra circolare n. 17586 del 15 luglio 2003).

Sempre il Codice (all'art. 179) provvedeva poi a sopprimere dall'art. 38, Stat. lav. le parole "4" e "8", ed a disporre (all'art. 171) che "la violazione delle disposizioni di cui agli artt. 113 e 114 è punita con le sanzioni di cui all'art. 38, Stat. Lav."

A fronte di successive modifiche intervenute sugli articoli 113 e 114 che hanno riportato gli artt. 8 e 4, l. 20 maggio 1970, n. 300 all'interno del corpo dello Statuto dei lavoratori (salvo, comunque, a lasciare nel Codice i rinvii alle norme dello Statuto) non altrettanto è stato fatto, tuttavia, sugli articoli 171 e 179 che conservano tutt'oggi i passaggi sopra descritti, con nessuna conseguenza, pertanto, sia per gli aspetti sanzionatori connessi agli artt. 4 e 8 Stat. lav. (la cui violazione risulta in tal modo sanzionata non più dall'art. 38, Stat. lav., bensì dal combinato disposto degli artt. 171 e 179 del Codice), che per i profili relativi alla tutela giurisdizionale.

Gli artt. 113 e 144 offrono, comunque, lo spunto per percorrere le linee essenziali del dibattito sviluppatosi in materia di controllo a distanza dei lavoratori, pur non essendo questa la sede propria per trattare l'argomento.

Il tema, invero, è estraneo a quello della protezione dei dati personali ma trova con esso innegabili punti di incontro, allorquando i sistemi di controllo portano a trattare i dati personali dei lavoratori rilevati attraverso, appunto, tali sistemi. Sarà in tale ultima circostanza che l'azienda dovrà valutare se sia obbligata o meno a rispettare le norme dell'art. 4, Stat. lav., ma sarà, comunque, tenuta a rispettare il Codice.

I diversi ambiti di competenza (efficacemente posti in evidenza dal Gruppo di lavoro europeo "Articolo 29" nel parere dell'8 settembre 2001. V. i richiami in premessa) sono del resto, sia pure indirettamente, riconosciuti, dallo stesso Codice allorquando - con riferimento alle notificazioni - reputi opportuno introdurre l'obbligo della notifica solo con riferimento a trattamenti suscettibili di recare pregiudizio ai diritti ed alle libertà dell'interessato, unicamente in ragione delle relative "modalità" di trattamento. È la modalità di raccolta del dato (e non la sua liceità) ad interessare il meccanismo delle notificazioni.

Ogni valutazione circa la liceità del controllo sul lavoratore, e dunque della connessa liceità del trattamento del dato per tale via raccolto, dovrà essere valutato alla luce delle discipline sostanziali (tra le quali gli artt. 4 e 8, Stat. lav.) che regolano la materia.

Tale impostazione risulta altresì confermata dall'art. 3 del Codice, il quale - anche qui - si preoccupa di limitare, attraverso l'introduzione del "principio di necessità" (v. sotto), particolari trattamenti di dati, senza addentrarsi nel diverso problema della liceità o meno del trattamento in sé.

Il principio della necessità del trattamento

Il principio costituisce una novità rispetto alla normativa vigente.

All'articolo 3 si introduce il principio della necessità nel trattamento dei dati personali, in base al quale, sin dalla loro configurazione, i sistemi informativi ed i software devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, e non anche quando i medesimi obiettivi possano essere raggiunti mediante l'uso di dati anonimi o che, comunque, consentano una più circoscritta identificazione degli interessati.

Il principio introdotto integra e completa, con riferimento alla configurazione stessa dell'ambiente in cui i dati sono trattati, il principio di pertinenza e non eccedenza dei dati trattati già operante in relazione al trattamento dei medesimi dati (art. 11, già art. 9, l 675/96, testo mod.).

Si tratta di una regola di ordine generale e operante, benché non specificamente sanzionata, in specie per i sistemi e i programmi che verranno d'ora in poi predisposti.

CONTROLLO A DISTANZA DEI LAVORATORI

La crescente diffusione degli elaboratori elettronici, prevalentemente utilizzati come strumenti accessori all'esecuzione della prestazione lavorativa nelle organizzazioni produttive, pone, sotto profili inediti, il problema della legittimità dell'uso di tali apparecchiature in grado di essere utilizzate anche per fini di controllo a distanza dei lavoratori e/o in grado di combinare una grande quantità di informazioni sulla loro vita e sulle loro abitudini lavorative. È questa, senza dubbio, una situazione nuova e non prevista dal legislatore nel momento in cui si formularono le disposizioni contenute negli artt. 4 e 8 della l.n 300 del 1970.

Art. 4 - Vedere anche eventuali nessi tra divieti di controllo e file log per audit.

  1. È vietato l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori.
  2. Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'Ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti. 3. (omissis)

Art. 8 - È fatto divieto al datore di lavoro, ai fini dell'assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

Il problema che occorre risolvere è quello di scindere il momento di controllo sulla riservatezza e dignità del lavoratore, vietato, da quello del controllo tecnico sull'adempimento della prestazione, consentito invece dalle nostre norme codicistiche.

Ci si deve chiedere, in buona sostanza, se l'utilizzo dell'elaboratore possa ricadere nei divieti posti dagli artt. 4 e 8, citt.

Come già accennato, è appena il caso di ricordare che tali controlli, in specie quelli effettuati attraverso una raccolta di dati personali, debbano comunque essere improntati al rispetto dei principi generali indicati dalla normativa sulla tutela della privacy, nonché all'osservanza delle relative misure di sicurezza.

Ma ciò non basta a tutelare la riservatezza del dipendente, posto che proprio tale disciplina fa salva e si cumula con l'applicabilità dello Statuto dei lavoratori.

Relativamente all'art. 8, Stat. lav., questo pone il divieto di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale dello stesso.

Monitorando la navigazione in Internet del dipendente, è innegabile che possano essere messe in evidenza caratteristiche della sua personalità, ma ciò non implica necessariamente che da queste sia consentito ricavare anche le sue opinioni. In relazione a ciò va dunque valutato se tali indagini integrano il divieto posto dall'art. 8, norma che - è bene ricordare- in quanto penalmente sanzionata, non può essere applicata in via analogica.

Parimenti occorre soffermarsi sull'ultima parte della disposizione in esame, quella che pone il divieto di compiere indagini su fatti non rilevanti ai fini dell'attitudine professionale del lavoratore.

Premesso che tale ultima locuzione va comunque interpretata non in astratto ma in concreto, e cioè in rapporto di stretta connessione con le mansioni cui è, o sarà, adibito il lavoratore, in linea generale potrebbero quindi essere considerate ammissibili tutte le indagini su fatti che siano utili ad accertare la competenza, la preparazione e la compatibilità del lavoratore con le mansioni a lui affidate.

I monitoraggi sulla navigazione in internet non sono però diretti a tali fini, quanto piuttosto a cogliere l'uso improprio dello strumento da parte del lavoratore. Sotto tale profilo tali indagini potrebbero, pertanto, essere ritenute illegittime, poiché confliggenti con l'art. 8, Stat. lav.

L'esame di compatibilità di tali controlli con l' art. 4, l. n. 300 del 1970 rivela, invece, problematiche sulle quali si possono intravvedere soluzioni di maggior respiro, ove beninteso ci sia la volontà di individuare nuovi percorsi, idonei a contemperare la tutela della privacy e la dignità del dipendente con le esigenze organizzative e di controllo dell'impresa-datore di lavoro.

Tale articolo disciplina distintamente le ipotesi dell'impianto di apparecchiature finalizzate al controllo a distanza dell'attività dei lavoratori (comma 1) e di apparecchiature di controllo installate per fini organizzativi e produttivi, ma tali, comunque, da offrire la possibilità di effettuare anche il controllo a distanza del dipendente (comma 2).

Mentre le apparecchiature di cui al comma 1 sono assolutamente vietate, quelle di cui al comma successivo sono consentite soltanto a condizione che il datore di lavoro osservi quanto tassativamente previsto nello stesso comma e, eventualmente, nei successivi.

Una norma, quella in esame, che, in quanto volta a garantire il rispetto e la salvaguardia della riservatezza del lavoratore - piuttosto che quello della sua dignità - trova un limite proprio nella situazione di subordinazione in cui versa il lavoratore, legittimando il potere del datore di lavoro di controllare l'adempimento della prestazione lavorativa e, quindi, di accertare eventuali specifiche mancanze.

Del resto è lo stesso articolo 4 a porre il divieto di controllo sull'"attività del lavoratore" piuttosto che sull'"attività lavorativa", diversamente da quanto, invece, disposto dall'art. 3, stessa legge. Prendendo invero le mosse da un esame complessivo delle disposizioni dello Statuto dei lavoratori, la giurisprudenza ha evidenziato che l'art. 4, facendo ricorso alla locuzione "attività del lavoratore", riguarda il controllo su tutto "il tempo di lavoro", comprensivo sia del comportamento solutorio del dipendente che della sua intera condotta, e, segnatamente, delle pause e delle altre licenze comportamentali (v., da ultimo, Cass. pen. 8 ottobre 1985, in Mass. giur. lav. 1986, 404, con nota di Papaleoni).

Concetto il primo, più ampio, destinato a ricomprendere ogni comportamento tenuto dal lavoratore nel luogo di lavoro, connesso o meno con lo svolgimento della prestazione lavorativa.

In buona sostanza quel che l'articolo 4, comma 1, pare destinato ad impedire è che il controllo a distanza (sia esso spaziale che temporale) del datore di lavoro fuoriesca dagli ambiti concessigli - quelli ricavabili dagli artt. 2086, 2104, 2105 e 2106 c. c. -, per raggiungere comportamenti del lavoratore estranei alla prestazione lavorativa, risultando, in tal modo, il controllo lesivo del diritto soggettivo del lavoratore alla riservatezza.

E poiché si sta qui parlando del corretto utilizzo da parte del lavoratore degli strumenti di lavoro, appare difficile allo stato negare al datore di lavoro il relativo controllo, tanto più se tale controllo coincide con quello sulla prestazione lavorativa.

Si impone, al riguardo, una lettura delle norme codicistiche che tenga conto delle mutate prospettive - determinate dall'introduzione nel contesto aziendale di strumenti informatici e telematici abitualmente utilizzati per svolgere le specifiche attività da parte del dipendente - nonché del corrispettivo controllo affidato al datore di lavoro.

In funzione delle considerazioni sopra espresse, ci si deve a questo punto domandare se l'elaboratore, composto dalla macchina (hardware) e dai programmi (software), possa concretare l'ipotesi del controllo sulla "attività del lavoratore", atteso che tali strumenti non sono in grado di registrare tutto ciò che il lavoratore fa anche quando si dedica ad attività diverse da quelle che prevedono l'utilizzo degli stessi.

Il lavoro a distanza, il c. d. telelavoro, è innegabilmente la prima forma di prestazione lavorativa chiamata a scontare, in maniera prepotente, le problematiche poste dal divieto contenuto nell'art. 4, ogniqualvolta il potere di controllo del datore di lavoro venga esercitato per la verifica del risultato della prestazione lavorativa del dipendente. È indubbio, infatti, che la prestazione a distanza risulta sottoposta ad un potere di controllo maggiore e più invasivo rispetto a quello esercitabile sul dipendente inserito in azienda.

L'esercizio di tale potere sembra, infatti, essere l'aspetto pratico più delicato in ordine alla effettiva diffusione del telelavoro, il quale attualmente rileva nella realtà empirica prima ancora che in quella giuridica, chiamando quindi l'interprete a mutuare dagli istituti presenti nel nostro ordinamento la specifica disciplina applicabile.

A meno che non si voglia ritenere che l'art. 4 sia destinato a vietare il controllo sull'attività e non anche il controllo sul risultato. Ma qui la linea di confine si fa più sottile e c'è già chi, in dottrina, avanza il dubbio che il mancato conseguimento del risultato possa far presumere la mancanza o l'insufficienza di attività, per poi concludere affermando che non è vietato ricorrere a tali procedimenti presuntivi, né acquisire elementi a tal fine.

Da non trascurare, comunque, che in ambiti normativi diversi da quelli in esame, lo strumento di controllo in questione può essere utilizzato purché il dipendente ne sia a conoscenza. È il caso dell'art. 29, comma 1, d.lgs. 19 marzo 1996, n. 242 (contenente modifiche e integrazioni al d.lgs. 19 settembre 1994, n. 626, in materia di sicurezza e salute dei lavoratori sul luogo di lavoro), per il quale nessun dispositivo o controllo, qualitativo o quantitativo, può essere utilizzato tramite il software all'insaputa dei lavoratori.

Una soluzione questa che esprime il pensiero di chi ritiene che il c. d. "controllo a distanza" non si realizza quando si stabilisce un contatto biunivoco, reciproco, tra controllante e controllato; quando cioè il controllato abbia la possibilità di accorgersi del controllo nel momento in cui viene attuato, in particolare se effettuato con la collaborazione di quest'ultimo e cioè con la esecuzione di atti idonei ad attivare il controllo, di tal che non potrebbe considerarsi occulto o vessatorio.

Si tratta, comunque, di comprendere e precisare il delicato confine tra l'ambito del controllo "repressivo", fine a se stesso o comunque estraneo ad esigenze di tutela del patrimonio aziendale, ovvero del corretto adempimento degli obblighi da parte del lavoratore dipendente, da quello invece permeato e tecnologicamente connotato da tali finalità.

Interessanti aperture in tal senso ci vengono intanto dalla Raccomandazione del Consiglio d'Europa n. 2 del 18 gennaio 1989 sui dati utilizzati per la gestione del rapporto di lavoro, implicitamente richiamata dall'art. 12 del Codice ai fini della la redazione dei Codici di deontologia e di buona condotta.

Tale Raccomandazione prevede, in ipotesi di installazione di "procedimenti tecnici destinati a controllare i movimenti o la produttività dei lavoratori", l'attivazione di una procedura preventiva di informazione del lavoratore interessato, soppiantata dalla ricerca di un vero e proprio accordo con quest'ultimo in presenza di specifici rischi per il dipendente non adeguatamente tutelati dalla legislazione nazionale.

Altrettanto interessanti sono anche le aperture recentemente offerte dalla giurisprudenza ordinaria ed amministrativa che introducono a ragionevoli spiragli per ammettere forme di controllo aziendali in termini di assoluta legittimità.

Cass. 2 marzo 2002, n. 3039, in Lav. prev. oggi 2002, 1115

- L'imprenditore, nonostante la previsione di cui all'art. 3, l. n. 300 del 1970, relativa all'obbligo di comunicazione dei nominativi e delle specifiche mansioni del personale addetto al controllo dell'attività lavorativa, conserva il potere, ai sensi degli artt. 2086 e 2104 c. c., di controllare (direttamente o attraverso la struttura gerarchica che a lui fa capo) l'adempimento della prestazione lavorativa e quindi di accertare eventuali specifiche mancanze, senza che ciò determini una lesione della libertà e dignità del lavoratore.

Cass. 3 aprile 2002, n. 4746, in Guida al lavoro 2002, n. 21, 10, con nota di Nogler

- Ai fini dell'operatività del divieto di utilizzo di apparecchiature per il controllo a distanza dell'attività dei lavoratori previsto dall'art. 4, l. n. 300 del 1970, è necessario che il controllo riguardi (direttamente o indirettamente) l'attività lavorativa, mentre devono ritenersi certamente fuori dell'ambito di applicazione della norma i controlli diretti ad accertare condotte illecite del lavoratore (c.d. controlli difensivi), quali, ad esempio, i sistemi di controllo dell'accesso ad aree riservate o gli apparecchi di rilevazione di telefonate ingiustificate.

Trib. Milano (ordinanza) - 10 maggio 2002 in Mass. Giur. lav. 2002, 555 con nota di Lanotte.

Così come non può configurarsi un diritto del lavoratore ad accedere in via esclusiva al computer aziendale, parimenti è inconfigurabile in astratto un diritto all'utilizzo esclusivo di una casella di posta elettronica aziendale;

né si può ritenere che l'assimilazione della posta elettronica alla posta tradizionale si verifichi nel momento in cui il lavoratore utilizzi lo strumento per fini privati, atteso che giammai un uso illecito (o, al massimo, semplicemente tollerato ma non certo favorito) di uno strumento di lavoro può far attribuire a chi questo illecito commette diritti di sorta;

tanto meno può ritenersi che leggendo la posta elettronica contenuta sul p.c. del lavoratore si possa verificare un non consentito controllo sulle attività di quest'ultimo, atteso che l'uso della e-mail costituisce un semplice strumento aziendale a disposizione dell'utente-lavoratore, al solo fine di consentire al medesimo di svolgere la propria funzione aziendale e che, come tutti gli altri strumenti di lavoro forniti, rimane nella completa e totale disponibilità del medesimo senza alcuna limitazione.

Trattasi, a quanto consta, della prima decisione intervenuta in tema di uso illecito della e-mail aziendale.

Sul punto viene in discussione l' art. 616 c. p. per il quale:

"Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a .... o con la multa da ... a ..."

La norma è stata modificata dall'art. 5, l. 23 dicembre 1993, n. 547 (recante norme in materia di criminalità informatica) con l'aggiunta del seguente ultimo comma:

"Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza" che ha nella sostanza esteso il concetto di corrispondenza anche alle e-mail.

La norma penale, però, pone una importante distinzione tra corrispondenza "chiusa" ed "aperta" e punisce la "presa di cognizione" da parte di chiunque non ne sia destinatario solo in relazione alla corrispondenza "chiusa".

In relazione alla corrispondenza "aperta" il prenderne cognizione non è reato.

A tal punto diventa essenziale capire se una e-mail sia corrispondenza "chiusa" o "aperta".

In proposito è stato da più parti sostenuto che è da ritenersi "chiusa" solo la comunicazione telematica inviata in forma criptata, ovvero dotata di particolari forme di protezione che non consentano a terzi di conoscere il contenuto del messaggio, ed "aperta" la comunicazione priva di forme specifiche di protezione.

Conseguentemente la fattispecie di reato prevista dall'art. 616 c. p. concernerebbe solo le e-mail protette nel senso sopra detto. Quindi le e-mail presenti nel server aziendale potrebbero essere considerate alla stregua di lettere "aperte".

Ma anche a voler considerare residuale tale interpretazione, soccorre in proposito un ulteriore elemento, pure previsto dall'art. 616 c. p., col quale si contribuisce a circoscrivere l'ambito di applicazione della norma, richiamando tra gli elementi soggettivi della fattispecie il fatto che deve trattarsi di corrispondenza "a lui non diretta".

E, di fronte alla consapevolezza che le e-mail aziendali - al pari del personal computer - sono uno strumento di lavoro messo a disposizione del dipendente per fini professionali e non personali, come si può ritenere che la e-mail arrivata sul p.c. del dipendente sia corrispondenza non diretta all'azienda? Invero le e-mail ricevute nella casella di posta aziendale sono messaggi indirizzati all'impresa e posti all'attenzione di un singolo lavoratore e non già comunicazioni personali inviate al lavoratore presso la società.

Quand'anche il datore di lavoro prendesse cognizione di messaggi personali, non sarebbe parimenti punibile posto che egli non può presumere l'uso indebito, per fini privati, della casella di posta elettronica aziendale.

A conferma di quanto sopra si richiama la sopra citata ordinanza del Trib. Milano in base alla quale

"La condotta del datore di lavoro che all'insaputa del lavoratore controlla la sua posta elettronica non integra gli estremi del reato di violazione della corrispondenza di cui all'art. 616 c. p., comma 1, poiché il lavoratore non è titolare di un diritto all'utilizzo esclusivo della posta elettronica aziendale e quindi si espone al rischio che altri lavoratori o il datore di lavoro possano lecitamente entrare nella sua casella e leggere i messaggi"

A conclusione dell'esame delle norme del codice penale, si segnala anche l'art. 617 quater il quale sanziona chiunque fraudolentemente intercetta comunicazioni informatiche telematiche.

La condotta però deve essere fraudolenta: deve cioè eludere i sistemi di protezione, ovvero trarre in inganno i lavoratori che inviano e ricevono la posta elettronica.

La tutela anzidetta, dunque, non parrebbe invocabile dal dipendente nel momento in cui l'azienda comunichi, chiaramente e senza possibilità di equivoci, il divieto di utilizzare l'indirizzo aziendale di posta elettronica per motivi personali, specificando che i messaggi sono visibili a tutti (per l'adozione di adeguate policy aziendali v. più avanti).

In tale ipotesi, infatti, verrebbe meno il comportamento fraudolento che le norme penali vogliono sanzionare.

Per la giurisprudenza amministrativa si segnala invece:

Corte dei Conti-Sez. Piemonte 12 febbraio/13 novembre 2003, n. 1856, in Guida al diritto 2004, n. 1, 88

- Ove la rete informatica dell'ufficio sia stata oggetto di incursioni a opera di virus dovuti a collegamenti internet su siti non istituzionali, nell'operato del datore di lavoro pubblico che impieghi, con verifiche svolte ex post, un tipo di software in uso a molte pubbliche amministrazioni in grado di registrare i dati inerenti agli accessi degli utenti collegati alla rete, non solo per finalità di repressione di comportamenti illeciti, ma anche per esigenze statistiche e di controllo della spesa, non è ravvisabile alcun comportamento invasivo preordinato al controllo recondito dell'attività del proprio dipendente.

In tale cotesto assumono certamente valenza positiva anche le indicazioni contenute al punto 10, all. B del Codice (contenente il Disciplinare tecnico in materia di misure minime di sicurezza) secondo le quali "quando l'accesso ai dati e agli altri strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza ed individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato."

L'importanza di tale disposizione deriva dal fatto che con essa il legislatore ha, nella sostanza, precluso nelle circostanze descritte ogni forma di intrusione da parte del datore di lavoro tanto sui dati quanto sugli strumenti elettronici gestiti dal dipendente (ad eccezione di quelle determinate da indispensabili e indifferibili necessità di operatività e di sicurezza del sistema), allorquando quest'ultimo sia assente dal luogo di lavoro.

La norma non si esprime dunque sugli interventi datoriali effettuati nei casi in cui il dipendente sia presente in azienda quasi a voler legittimare, in tale ultima circostanza, in primo luogo quelli già ritenuti ammissibili sia pure in assenza del dipendente (v., ad esempio, i dati relativi alla partecipazione ad una gara di appalto allocati sul personal computer di un dipendente assente, ad esempio, per malattia).

Secondariamente quasi a voler concedere altre forme di intervento, rientranti anch'esse nei c. d. controlli difensivi, diretti ad accertare condotte illecite del lavoratore che integrino lesione del patrimonio aziendale o della sicurezza o illecito contrattuale.

POLICY AZIENDALI

Gli elaboratori elettronici hanno ormai assunto una funzione essenziale nei processi produttivi dell'impresa e di molteplici attività, riconducibili a numerose figure professionali.

La diffusione della telematica, la sua applicazione alla produzione di beni e servizi e l'esigenza di organizzare al meglio i fattori che intervengono nell'attività aziendale hanno dato origine a nuove tecniche di gestione dell'impresa.

La rete porta dunque le imprese ad essere più interdipendenti e intercomunicanti all'interno di filiere virtuali, le quali possono anche strutturarsi come mercati digitali per lo scambio di beni e servizi.

Nel digitale i dati e le informazioni possono essere raccolti e utilizzati in modo più semplice. Di fronte, pertanto, ad un crescendo esponenziale dei volumi di transazioni e degli scambi di informazioni, sarà necessario raggiungere un equilibrio tra legittime aspettative di riservatezza dei lavoratori e capacità delle imprese di raccogliere più informazioni, di diffonderle più velocemente di quanto sia avvenuto in passato, attraverso il supporto di Internet.

Realtà queste che necessitano, per potersi realizzare, di un sistema minimo di regole certe, semplici e sicure.

Il complesso mondo di Internet offre notevoli opportunità alle aziende ma pone al tempo stesso nuovi problemi da risolvere.

Sotto il profilo giuridico Internet non opera nel vuoto, giacché tutte le persone che con esso interagiscono sono soggette alle leggi vigenti, incluse quelle relative alla tutela dei dati personali, così come avviene al di fuori della rete.

Ed è su questo versante che si aprono le difficoltà operative dell'impresa che ha l'esigenza di controllare l'uso che, attraverso Internet, viene fatto dei propri dati, ma anche di verificare il modo in cui gli strumenti informatici aziendali vengono utilizzati.

Sono due espressioni di uno stesso problema: il controllo dei lavoratori attraverso le nuove tecnologie informatiche.

Senza dubbio, nell'era della comunicazione e dell'informazione tecnologica, la tutela della dignità e della riservatezza del lavoratore rappresenta un valore aggiunto per l'impresa, ma non può e non deve costituire un sacrificio dei diritti a questa riconosciuti e neppure un appesantimento burocratico per l'organizzazione aziendale.

È evidente che un messaggio di posta elettronica inviato a terzi, contenente informazioni sì di lavoro, ma riservate e, quindi, in grado di produrre un danno per l'azienda, è difficilmente intercettabile senza che il datore di lavoro abbia già approntato un sistema per realizzare un controllo continuo e totale dei messaggi in entrata e in uscita.

Perché il datore di lavoro possa reagire con efficacia è, dunque, necessario un controllo preventivo e continuo attraverso le stesse apparecchiature informatiche.

Stesse considerazioni valgono per i lavoratori "presenti" sul posto di lavoro ma di fatto "virtualmente" al lavoro, in quanto navigatori in Internet.

Internet rischia di diventare strumento di abuso, come lo è stato a suo tempo l'apparecchio telefonico e il fax.

La rete non può diventare un diversivo che riduce la capacità produttiva dell'impresa, né il luogo per mettere in atto comportamenti che possano arrecare danno all'immagine dell'azienda o alle sue capacità concorrenziali.

Per limitare tali comportamenti è allora opportuno che le aziende, intanto, adottino una politica aziendale trasparente, fatta di regole chiare, ispirata alla conoscenza di ciò che non è consentito fare con tali strumenti di lavoro, evitando così soluzioni dirette ad impedire, in radice, l'uso degli stessi, onde non compromettere l'accrescimento professionale del lavoratore.

È per questo che appare opportuno suggerire l'adozione di una policy aziendale, finalizzata ad illustrare ai propri dipendenti le modalità per il corretto utilizzo dei sistemi informatici aziendali messi a disposizione del lavoratore per l'uso professionale degli stessi, nell'ambito ovviamente dei compiti assegnati dall'azienda. Si tratterà di mettere a disposizione degli interessati uno strumento che, opportunamente modellato sulle singole realtà aziendali, possa limitare l'uso improprio di tali strumenti di lavoro, contribuendo così all'abbattimento dei relativi costi aziendali.

Prevenire è sempre meglio che curare.

Tutto ciò non ha niente a che vedere con le misure di sicurezza richieste dalla normativa sulla tutela dei dati personali, bensì si inquadra, semplicemente, nel complesso delle norme che sottostanno - nell'ambito dell'organizzazione aziendale - alla gestione della forza lavoro il cui presupposto indispensabile è, appunto, costituito da una regolamentazione della prestazione lavorativa alla quale non può non far seguito - nei limiti consenti dalla norme di legge - una attività di controllo da parte dell'impresa.

Controlli questi di tipo "difensivo" che derivano, in specie, dal diritto, riconosciuto al datore di lavoro dall'art. 2104 c. c., di impartire disposizioni per l'esecuzione e la disciplina del lavoro.

Per le "Linee guida" suggerite da Confindustria in materia di utilizzo dei sistemi informatici aziendali, si rinvia alla nostra circolare n. 16701 del 18 luglio 2001.

ALTRE DISPOSIZIONI IN MATERIA DI LAVORO

L'art. 115 chiude, di fatto, la serie delle norme specialistiche previste dal Codice in materia di lavoro, essendo l'art. 116 dedicato agli Istituti di patronato e di assistenza sociale.

L'art. 115, la cui rubrica (intitolata al "telelavoro e lavoro a domicilio") appare in distonia con il contenuto che la disposizione stessa reca, riproduce talune disposizioni in materia di riservatezza già previste nell'ambito del lavoro domestico, estendendole in parte anche al telelavoro

"Nell'ambito del rapporto di lavoro domestico e del telelavoro il datore di lavoro è tenuto a garantire al lavoratore il rispetto della sua personalità e della sua libertà morale."

"Il lavoratore domestico è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita familiare."

Le due disposizioni, tratte dall'art. 6, n. n. 339 del 1958 (sulla tutela del rapporto di lavoro domestico), sono accompagnate dalla previsione contenuta nell'art. 179, comma 1, del Codice il quale reca l'abrogazione parziale del predetto art. 6, per le parti "trasferite" nel Codice.

Roma dicembre 2003

(1) Per l'insieme delle note informative e illustrative emanate sul tema da questa Area si rinvia alle numerose circolari e news consultabili anche presso l'Archivio storico riportato sul nostro sito (sotto la voce Area Relazioni Industriali e Affari sociali) tra le quali si segnalano in particolare le seguenti: circ. n. 15870 dell'11 ottobre 1999, sulle valutazioni dei dipendenti; circ. n. 15263 del 20 luglio 1998, sui test attitudinali; circ. n. 14792 del 21 ottobre 1997, sui dati relativi all'iscrizione dei lavoratori al sindacato; circ. n. 14901 del 16 dicembre 1997, sulle principali problematiche relative alla disciplina e gestione del rapporto di lavoro; circ. n. 14508 del 4 marzo 1997, sul trattamento dei dati personali dei lavoratori.