Garante per la protezione
    dei dati personali


Autorizzazione n. 1/2012

Autorizzazione al trattamento dei dati sensibili neirapporti di lavoro

Autorizzazione del 13 dicembre 2012


(Pubblicata sulla GU n.3 del 4-1-2013 - Suppl. Ordinario n. 2)

Registro dei provvedimenti
n. 398 del 13 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Indata odierna, con la partecipazione del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistoil decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia diprotezione dei dati personali;

Visto,in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il qualeindividua i dati sensibili;

Consideratoche, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli entipubblici economici possono trattare i dati sensibili solo previa autorizzazionedi questa Autorità e, ove necessario, con il consenso scritto degliinteressati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice,nonché dalla legge e dai regolamenti;

Vistoil comma 4, lett. d), del medesimo art. 26, il quale stabilisce che i datisensibili possono essere oggetto di trattamento anche senza consenso, previaautorizzazione del Garante, quando il trattamento medesimo è necessario peradempiere a specifici obblighi o compiti previsti dalla legge, da unregolamento o dalla normativa comunitaria per la gestione del rapporto dilavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione edi previdenza e assistenza, nei limiti previsti dall'autorizzazione e fermerestando le disposizioni del codice di deontologia e di buona condotta di cuiall'art. 111 del Codice;

Consideratoche il trattamento dei dati in questione può essere autorizzato dal Garanteanche d'ufficio con provvedimenti di carattere generale, relativi a determinatecategorie di titolari o di trattamenti (art. 40 del Codice);

Consideratoche le autorizzazioni di carattere generale sinora rilasciate sono risultateuno strumento idoneo per prescrivere misure uniformi a garanzia degliinteressati, rendendo altresì superflua la richiesta di singoli provvedimentidi autorizzazione da parte di numerosi titolari del trattamento;

Ritenutoopportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenzail 30 giugno 2011, armonizzando le prescrizioni già impartite alla lucedell'esperienza maturata;

Ritenutoopportuno che anche tali nuove autorizzazioni siano provvisorie e a tempodeterminato, ai sensi dell'art. 41, comma 5, del Codice e, in particolare,efficaci per il periodo di 12 mesi;

Consideratala necessità di garantire il rispetto di alcuni princìpi volti a ridurre alminimo i rischi di danno o di pericolo che i trattamenti potrebbero comportareper i diritti e le libertà fondamentali, nonché per la dignità delle persone,e, in particolare, per il diritto alla protezione dei dati personali sancitodall'art. 1 del Codice;

Consideratoche un elevato numero di trattamenti di dati sensibili è effettuato nell'ambitodei rapporti di lavoro;

Vistol'art. 167 del Codice;

Vistol'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazionedella disciplina rilevante in materia di trattamento di dati personali nonpossono essere utilizzati;

Vistigli articoli 31 e seguenti del Codice e il disciplinare tecnico di cuiall'Allegato B) al medesimo Codice recanti norme e regole sulle misure disicurezza;

Vistol'art. 41 del Codice;

Vistigli articoli 42 e seguenti del Codice in materia di trasferimento di datipersonali all'estero;

Vistigli atti d'ufficio;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

Relatorela prof.ssa Licia Califano;

Autorizza

iltrattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), delCodice, finalizzato alla gestione dei rapporti di lavoro, secondo leprescrizioni di seguito indicate.

Primadi iniziare o proseguire il trattamento i sistemi informativi e i programmiinformatici sono configurati riducendo al minimo l'utilizzazione di datipersonali e di dati identificativi, in modo da escluderne il trattamento quandole finalità perseguite nei singoli casi possono essere realizzate mediante,rispettivamente, dati anonimi od opportune modalità che permettano diidentificare l'interessato solo in caso di necessità, in conformità all'art. 3del Codice.

1) Ambito di applicazione.

Lapresente autorizzazione è rilasciata:

a) allepersone fisiche e giuridiche, alle imprese, anche sociali, agli enti, alleassociazioni e agli organismi che sono parte di un rapporto di lavoro o cheutilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o checomunque conferiscono un incarico professionale alle figure indicate alsuccessivo punto 2, lettere b) e c);

b) adorganismi paritetici o che gestiscono osservatori in materia di lavoro,previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o daicontratti collettivi anche aziendali;

l'autorizzazioneriguarda anche l'attività svolta:

c) dalmedico competente in materia di igiene e di sicurezza del lavoro, in qualità dilibero professionista o di dipendente dei soggetti di cui alla lettera a) o distrutture convenzionate;

d) dalrappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;

e) daassociazioni, organizzazioni, federazioni o confederazioni rappresentative dicategorie di datori di lavoro, al solo fine di perseguire le finalità di cui alpunto 3), lettera h).

2) Interessati ai quali i dati si riferiscono.


Iltrattamento può riguardare i dati sensibili attinenti:

a) alavoratori subordinati, anche se parti di un contratto di apprendistato, o diformazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavorointermittente o a chiamata, o di lavoro occasionale ovvero prestatori di lavoronell'ambito di un contratto di somministrazione di lavoro, o in rapporto ditirocinio, ovvero ad associati anche in compartecipazione e, se necessario inbase ai punti 3) e 4), ai relativi familiari e conviventi;

b) aconsulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;

c) a soggettiche effettuano prestazioni coordinate e continuative, anche nella modalità dilavoro a progetto, o ad altri lavoratori autonomi in rapporto dicollaborazione, anche sotto forma di prestazioni di lavoro accessorio, con isoggetti di cui al punto 1);

d) acandidati all'instaurazione dei rapporti di lavoro di cui alle lettereprecedenti, fatta salva l'ipotesi prevista dall'art. 26, comma 3, lett. b-bis),del Codice relativamente ai dati sensibili indispensabili contenuti incurricula spontaneamente trasmessi dagli interessati ai fini dell'instaurazionedi un rapporto di lavoro;

e) apersone fisiche che ricoprono cariche sociali o altri incarichi nelle personegiuridiche, negli enti, nelle associazioni e negli organismi di cui al punto1);

f) aterzi danneggiati nell'esercizio dell'attività lavorativa o professionale daisoggetti di cui alle precedenti lettere.

3) Finalità del trattamento.

Il trattamento dei dati sensibilideve essere indispensabile:

a) peradempiere o per esigere l'adempimento di specifici obblighi o per eseguirespecifici compiti previsti dalla normativa comunitaria, da leggi, daregolamenti o da contratti collettivi anche aziendali, in particolare ai finidell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché delriconoscimento di agevolazioni ovvero dell'erogazione di contributi,dell'applicazione della normativa in materia di previdenza ed assistenza ancheintegrativa, o in materia di igiene e sicurezza del lavoro o della popolazione,nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine edella sicurezza pubblica;

b) anchefuori dei casi di cui alla lettera a), in conformità alla legge e per scopideterminati e legittimi, ai fini della tenuta della contabilità o dellacorresponsione di stipendi, assegni, premi, altri emolumenti, liberalità obenefici accessori;

c) perperseguire finalità di salvaguardia della vita o dell'incolumità fisicadell'interessato o di un terzo;

d) perfar valere o difendere un diritto anche da parte di un terzo in sedegiudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e diconciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dairegolamenti o dai contratti collettivi, sempre che i dati siano trattatiesclusivamente per tali finalità e per il periodo strettamente necessario alloro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute ela vita sessuale, il diritto da far valere o difendere deve essere di rangopari a quello dell'interessato, ovvero consistente in un diritto dellapersonalità o in un altro diritto o libertà fondamentale e inviolabile;

e) peresercitare il diritto di accesso ai documenti amministrativi, nel rispetto diquanto stabilito dalle leggi e dai regolamenti in materia;

f) per adempieread obblighi derivanti da contratti di assicurazione finalizzati alla coperturadei rischi connessi alla responsabilità del datore di lavoro in materia diigiene e di sicurezza del lavoro e di malattie professionali o per i dannicagionati a terzi nell'esercizio dell'attività lavorativa o professionale;

g) pergarantire le pari opportunità nel lavoro;

h) perperseguire scopi determinati e legittimi individuati dagli statuti diassociazioni, organizzazioni, federazioni o confederazioni rappresentative dicategorie di datori di lavoro o dai contratti collettivi, in materia diassistenza sindacale ai datori di lavoro.

4) Categorie di dati.


Iltrattamento può avere per oggetto i dati strettamente pertinenti ai sopraindicati obblighi, compiti o finalità che non possano essere adempiuti orealizzati, caso per caso, mediante il trattamento di dati anonimi o di datipersonali di natura diversa, e in particolare:

a)nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche odi altro genere, ovvero l'adesione ad associazioni od organizzazioni acarattere religioso o filosofico, i dati concernenti la fruizione di permessi efestività religiose o di servizi di mensa, nonché la manifestazione, nei casiprevisti dalla legge, dell'obiezione di coscienza;

b)nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione apartiti, sindacati, associazioni od organizzazioni a carattere politico osindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichipolitici, di attività o di incarichi sindacali (sempre che il trattamento siaeffettuato ai fini della fruizione di permessi o di periodi di aspettativariconosciuti dalla legge o, eventualmente, dai contratti collettivi ancheaziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i datiinerenti alle trattenute per il versamento delle quote di servizio sindacale odelle quote di iscrizione ad associazioni od organizzazioni politiche osindacali;

c)nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti eulteriormente trattati in riferimento a invalidità, infermità, gravidanza,puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio,all'idoneità psico-fisica a svolgere determinate mansioni, all'appartenenza adeterminate categorie protette, nonché i dati contenuti nella certificazionesanitaria attestante lo stato di malattia, anche professionaledell'interessato, o comunque relativi anche all'indicazione della malattia comespecifica causa di assenza del lavoratore.

5) Modalità di trattamento.


Fermirestando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagliarticoli 31 e seguenti del Codice e dall'Allegato B) al medesimo Codice, iltrattamento dei dati sensibili deve essere effettuato unicamente con operazioni,nonché con logiche e mediante forme di organizzazione dei dati strettamenteindispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.

Idati sono raccolti, di regola, presso l'interessato.

Lacomunicazione di dati all'interessato deve avvenire di regola direttamente aquest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84,comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire laconoscenza da parte di soggetti non autorizzati, anche attraverso la previsionedi distanze di cortesia.

Restanoinoltre fermi gli obblighi di informare l'interessato e, ove necessario, diacquisirne il consenso scritto, in conformità a quanto previsto dagli articoli13, 23 e 26 del Codice.

6) Conservazione dei dati.

Nelquadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lettera e),del Codice, i dati sensibili possono essere conservati per un periodo nonsuperiore a quello necessario per adempiere agli obblighi o ai compiti di cuial punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine,anche mediante controlli periodici, deve essere verificata costantemente lastretta pertinenza, non eccedenza e indispensabilità dei dati rispetto alrapporto, alla prestazione o all'incarico in corso, da instaurare o cessati,anche con riferimento ai dati che l'interessato fornisce di propria iniziativa.I dati che, anche a seguito delle verifiche, risultano eccedenti o nonpertinenti o non indispensabili non possono essere utilizzati, salvo che perl'eventuale conservazione, a norma di legge, dell'atto o del documento che licontiene. Specifica attenzione è prestata per l'indispensabilità dei datiriferiti a soggetti diversi da quelli cui si riferiscono direttamente leprestazioni e gli adempimenti.

7) Comunicazione e diffusione dei dati.


Idati sensibili possono essere comunicati e, ove necessario, diffusi nei limitistrettamente pertinenti agli obblighi, ai compiti o alle finalità di cui alpunto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, cassee fondi di previdenza ed assistenza sanitaria integrativa anche aziendale,istituti di patronato e di assistenza sociale, centri di assistenza fiscale,agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori dilavoro e di prestatori di lavoro, liberi professionisti, società esternetitolari di un autonomo trattamento di dati e familiari dell'interessato.

Aisensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato disalute non possono essere diffusi.

8) Richieste di autorizzazione.


Ititolari dei trattamenti che rientrano nell'ambito di applicazione dellapresente autorizzazione non sono tenuti a presentare una richiesta diautorizzazione a questa Autorità, qualora il trattamento che si intende effettuaresia conforme alle prescrizioni suddette.

Lerichieste di autorizzazione pervenute o che perverranno anche successivamentealla data di adozione del presente provvedimento, devono intendersi accolte neitermini di cui al provvedimento medesimo.

IlGarante non prenderà in considerazione richieste di autorizzazione pertrattamenti da effettuarsi in difformità dalle prescrizioni del presenteprovvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loroaccoglimento sia giustificato da circostanze del tutto particolari o dasituazioni eccezionali non considerate nella presente autorizzazione.

9) Norme finali.

Restanofermi gli obblighi previsti da norme di legge o di regolamento, ovvero dallanormativa comunitaria, che stabiliscono divieti o limiti in materia ditrattamento di dati personali e, in particolare, dalle disposizioni contenute:

a)nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoroai fini dell'assunzione e nello svolgimento del rapporto di lavoro, dieffettuare indagini, anche a mezzo di terzi, sulle opinioni politiche,religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai finidella valutazione dell'attitudine professionale del lavoratore;

b)nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro losvolgimento di indagini volte ad accertare, nei dipendenti o in persone presein considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza diuno stato di sieropositività;

c) nellenorme in materia di pari opportunità o volte a prevenire discriminazioni;

d) fermorestando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300,nell'art. 10 del decreto legislativo 10 settembre 2003, n. 276, che vieta alleagenzie per il lavoro e agli altri soggetti privati autorizzati o accreditatidi effettuare qualsivoglia indagine o comunque trattamento di dati ovvero dipreselezione di lavoratori, anche con il loro consenso, in base alleconvinzioni personali, alla affiliazione sindacale o politica, al credoreligioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o difamiglia o di gravidanza, alla età, all'handicap, alla razza, all'origineetnica, al colore, alla ascendenza, all'origine nazionale, al gruppolinguistico, allo stato di salute e ad eventuali controversie con i precedentidatori di lavoro, nonché di trattare dati personali dei lavoratori che nonsiano strettamente attinenti alle loro attitudini professionali e al loroinserimento lavorativo.

10) Efficacia temporale e disciplina transitoria.
Lapresente autorizzazione ha efficacia a decorrere dal 1 gennaio 2013 fino al 31dicembre 2013, salve eventuali modifiche che il Garante ritenga di doverapportare in conseguenza di eventuali novità normative rilevanti in materia.

Lapresente autorizzazione sarà pubblicata nella Gazzetta Ufficiale dellaRepubblica italiana.

Roma, 13 dicembre 2012

Il Presidente
Soro

Il relatore
Califano

Il segretario generale
Busia