Gazzetta n. 285 del 7 dicembre 2006 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 23 novembre 2006 Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento all'art. 154, comma 1, lettera h); Esaminate le istanze (segnalazioni, reclami e quesiti) di lavoratori, organizzazioni sindacali ed imprese, pervenute in materia di trattamento di dati personali di lavoratori operanti alle dipendenze di datori di lavoro privati; Viste le pronunce adottate dall'Autorita' in ordine a specifiche operazioni di trattamento di dati personali effettuate nell'ambito della gestione del rapporto di lavoro, anche a seguito di ricorso degli interessati; Ritenuta l'opportunita' di procedere alla definizione, in tale contesto, di un quadro unitario di misure ed accorgimenti necessari e opportuni in grado di fornire ulteriori orientamenti utili per i datori di lavoro e i lavoratori in ordine alle operazioni di trattamento di dati personali connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i comportamenti piu' appropriati da adottare; Rilevata l'esigenza che tale quadro sia riassunto in alcune linee guida, suscettibili di periodico aggiornamento, di cui verra' curata la piu' ampia pubblicita', anche attraverso il sito Internet dell'Autorita' (http://www.garanteprivacy.it); Ritenuta la necessita' che le misure e gli accorgimenti relativi al trattamento di dati biometrici di cui al punto 4 delle Linee guida di cui al successivo dispositivo siano altresi' oggetto di una prescrizione del Garante ai sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2 del Codice, considerati i maggiori rischi specifici che tale trattamento pone per i diritti e le liberta' fondamentali, nonche' per la dignita' dell'interessato; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan; Delibera: 1. di adottare le «Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati», di cui al documento che e' allegato quale parte integrante della presente deliberazione (Allegato 1); 2. di prescrivere ai titolari del trattamento interessati l'adozione delle misure e degli accorgimenti per il trattamento di dati biometrici di cui al punto 4 delle medesime Linee guida, ai sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2, del Codice; 3. che copia del presente provvedimento, unitamente alle menzionate «Linee guida», sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice. Roma, 23 novembre 2006 Il presidente: Pizzetti Il relatore: Paissan Il segretario generale: Buttarelli   Allegato 1 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006) 1. Premessa. 1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati il Garante ravvisa l'esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto, altresi', di precedenti decisioni dell'Autorita'. Le indicazioni fornite non pregiudicano l'applicazione delle disposizioni di legge o di regolamento che stabiliscono divieti o limiti piu' restrittivi in relazione a taluni settori o a specifici casi di trattamento di dati (articoli 113, 114 e 184, comma 3, del Codice) 1. 1.2. Ambiti considerati. Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei dati, all'informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il diritto d'accesso. Le operazioni di trattamento riguardano per lo piu': - dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l'adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi; - informazioni piu' strettamente connesse allo svolgimento dell'attivita' lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtu' di provvedimenti «ad personam»; l'ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l'assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari. I medesimi dati sono: - contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, questa Autorita' si e' gia' pronunciata 2 o nel corso del rapporto di lavoro; - contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalita' di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali 3; - resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali. 2. Il rispetto dei principi di protezione dei dati personali. 2.1. Liceita', pertinenza, trasparenza. Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi. In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie. 1 Le indicazioni rese tengono altresi' conto, per i profili esaminati, della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo dei Garanti europei, in http://ec.europa.eu/justice home/fsj/privacy/docs/wpdocs/2001/wp48en. pdf e del Code of practice, "Protection of workers' personal data", pubblicato dall'Organizzazione internazionale del lavoro (ILO). 2 Cfr. Provv. 10 gennaio 2002, in http://www.garanteprivacy.it, doc. web n. 1064553. 3 Cfr. Provv. 23 aprile 2002, doc. web n. 1065065. In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive che il trattamento di dati personali avvenga: - nel rispetto di principi di necessita' e liceita' e che riguardano la qualita' dei dati (articoli 3 e 11); - informando preventivamente e adeguatamente gli interessati (art. 13); - chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (articoli 23, 24, 26 e 43 del Codice); - rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (articoli 26 e 27 del Codice; cfr., in particolare, l'autorizzazione generale n. 1/2005); - adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali puo' essere chiamato a rispondere anche civilmente e penalmente (articoli 15, 31 e ss., 167 e 169 del Codice). 2.2. Finalita'. Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, e' lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza). Alcuni scopi sono altresi' previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali). Se queste finalita' sono in termini generali lecite, occorre pero' rispettare il principio della compatibilita' tra gli scopi perseguiti (art. 11, comma 1, lettera b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalita' per le quali i medesimi sono stati raccolti. 3. Titolare e responsabile del trattamento. 3.1. Titolare e responsabile. Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento (articoli 4, comma 1, lettera f) e g), 28 e 29 del Codice). In linea di principio, per individuare il titolare del trattamento rileva l'effettivo centro di imputazione del rapporto di lavoro, al di la' dello schema societario formalmente adottato 4. Peraltro, specie nelle realta' imprenditoriali piu' articolate, questa identificazione puo' risultare non sempre agevole e tale circostanza costituisce in qualche caso un ostacolo anche per l'esercizio dei diritti di cui all'art. 7 5. 3.2. Gruppi di imprese. Le societa' che appartengono a gruppi di imprese individuati in conformita' alla legge (art. 2359 cod. civ.;, decreto legislativo 2 aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarita' del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori (articoli 4, comma 1, lettera f) e 28 del Codice). Tuttavia, nell'ambito dei gruppi, le societa' controllate e collegate possono delegare la societa' capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge 6: tale attivita' implica la designazione della societa' capogruppo quale responsabile del trattamento ai sensi dell'art. 29 del Codice 7. Analoga soluzione (art. 31, comma 2, deceto legislativo n. 276/2003) deve essere adottata per i trattamenti di dati personali, aventi identica natura, effettuati nell'ambito dei consorzi di societa' cooperative (nei quali a tal fine puo' essere altresi' designata una delle societa' consorziate). 4 Cfr., in merito, i principi affermati in giurisprudenza: Cass. 24 marzo 2003, n. 4274; v. altresi' Cass. 1° aprile 1999, n. 3136. 5 In merito v. di seguito il punto 9. 6 Cfr. art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg. 10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30. 7 Come gia' accade per i soggetti indicati al menzionato art. 1 della legge n. 12/1979. 3.3. Medico competente. Considerazioni ulteriori devono essere svolte in relazione a taluni specifici trattamenti che possono o devono essere effettuati all'interno dell'impresa in conformita' alla disciplina in materia di sicurezza e igiene del lavoro 8. Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nell'ambito del piu' generale quadro di misure necessarie a tutelare l'integrita' psico-fisica dei lavoratori (art. 2087 cod. civ.), pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli articoli 16 e 17 del decreto legislativo n. 626/1994, il correlativo trattamento dei dati contenuti in cartelle cliniche). In quest'ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 del decreto del Presidente della Repubblica n. 303/1956; art. 16, decreto legislativo n. 626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformita' alle prescrizioni contenute negli articoli 17, 59-quinquiesdecies, comma 2, lettera b), 59-sexiesdecies e 70 decreto legislativo n. 626/1994). Detta cartella e' custodita presso l'azienda o l'unita' produttiva, «con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta» (art. 4, comma 8, decreto legislativo n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, decreto legislativo n. 626/1994), in originale e in busta chiusa 9. In relazione a tali disposizioni, il medico competente e' deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalita' e modalita' del trattamento stabilite. Cio', quale che sia il titolare del trattamento effettuato dal medico 10. Alle predette cartelle il datore di lavoro non puo' accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, «con salvaguardia del segreto professionale» 11. Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non puo' conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l'idoneita' del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni. In tal senso, peraltro, depongono anche le previsioni legislative che dispongono la comunicazione all'Ispesl della cartella sanitaria e di rischio in caso di cessione (art. 59-sexiesdecies, comma 4, decreto legislativo n. 626/1994) o cessazione del rapporto di lavoro (art. 72-undecies, decreto legislativo n. 626/1994), precludendosi anche in tali occasioni ogni loro conoscibilita' da parte del datore di lavoro. 4. Dati biometrici e accesso ad «aree riservate». 4.1. Nozione. In piu' circostanze, anche ricorrendo al procedimento previsto dall'art. 17 del Codice, e' stato prospettato al Garante l'utilizzo di dati biometrici sul luogo di lavoro 12, con particolare riferimento all'impiego di tali informazioni per accedere ad aree specifiche dell'impresa. Si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest'ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all'identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto. 8 In particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni e integrazioni. 9 Cfr. circolare Ispesl 3 marzo 2003, n. 2260. 10 In tal senso, v. l'autorizzazione generale n. 1/2005, in rapporto al diverso titolo in base al quale il medico opera quale libero professionista, o quale dipendente del datore di lavoro o di aziende sanitarie locali. 11 La cui violazione e' peraltro penalmente sanzionata ai sensi dell'art. 92, lett. a), d.lg. n. 626/1994. 12 Cfr. Provv. 21 luglio 2005, doc. web n. 1150679. L'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non e' lecito. Tali dati, per la loro peculiare natura, richiedono l'adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l'abusiva «ricostruzione» dell'impronta, partendo dal modello di riferimento, e la sua ulteriore «utilizzazione» a loro insaputa. L'utilizzo di dati biometrici puo' essere giustificato solo in casi particolari, tenuto conto delle finalita' e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad «aree sensibili», considerata la natura delle attivita' ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi 13 o sottoposti a segreti di varia natura 14 o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore 15. 4.2. Sistemi di rilevazione biometrica. Inoltre, nei casi in cui l'uso dei dati biometrici e' consentito, la centralizzazione in una banca dati delle informazioni personali (nella forma del predetto modello) trattate nell'ambito del descritto procedimento di riconoscimento biometrico risulta di regola sproporzionata e non necessaria. I sistemi informativi devono essere infatti configurati in modo da ridurre al minimo l'utilizzazione di dati personali e da escluderne il trattamento, quando le finalita' perseguite possono essere realizzate con modalita' tali da permettere di identificare l'interessato solo in caso di necessita' (articoli 3 e 11 del Codice). In luogo, quindi, di modalita' centralizzate di trattamento dei dati biometrici, deve ritenersi adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello cifrato, su un supporto posto nell'esclusiva disponibilita' dell'interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale). Tale modalita' di riconoscimento, infatti, e' idonea ad assicurare che possano accedere all'area riservata solo coloro che, autorizzati preventivamente, decidano su base volontaria di avvalersi della predetta carta o del dispositivo analogo. Il confronto delle impronte digitali con il modello memorizzato sulla carta o sul dispositivo puo' essere realizzato ricorrendo a comuni procedure di confronto sulla carta o dispositivo stesso, evitando cosi' la costituzione di un archivio di delicati dati biometrici. Del resto, in caso di smarrimento della carta o dispositivo, sono allo stato circoscritte le possibilita' di abuso rispetto ai dati biometrici ivi memorizzati. 4.3. Misure di sicurezza e tempi di conservazione. I dati personali necessari per realizzare il modello possono essere trattati esclusivamente durante la fase di registrazione; per il loro utilizzo, il titolare del trattamento deve raccogliere il preventivo consenso informato degli interessati. In aggiunta alle misure di sicurezza minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a protezione dei dati, impartendo agli incaricati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle carte o dispositivi loro affidati. I dati memorizzati devono essere accessibili al personale preposto al rispetto delle misure di sicurezza all'interno dell'impresa, per l'esclusiva finalita' della verifica della loro osservanza (rispettando peraltro la disciplina sul controllo a distanza dei lavoratori: art. 4, comma 2, legge 20 maggio 1970, n. 300, richiamato dall'art. 114 del Codice). I dati raccolti non possono essere di regola conservati per un arco di tempo superiore a sette giorni e vanno assicurati, anche quando tale arco temporale possa essere lecitamente protratto, idonei meccanismi di cancellazione automatica dei dati. 4.4. Verifica preliminare. Resta salva, per fattispecie particolari o in ragione di situazioni eccezionali non considerate in questa sede, la presentazione da parte di titolari del trattamento che intendano discostarsi dalle presenti prescrizioni, di apposito interpello al Garante, ai sensi dell'art. 17 del Codice. 5. Comunicazione e diffusione di dati personali. 5.1. Comunicazione. La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi e' ammessa se l'interessato vi acconsente. Se il datore di lavoro non puo' avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso (art. 24 del Codice), non puo' prescindersi dal consenso stesso per 13 Cfr. Provv. 15 giugno 2006, docc. web nn. 1306523, 1306530 e 1306551. 14 Cfr. Provv. 23 novembre 2005, doc. web n. 1202254. 15 Cfr. Provv. 15 giugno 2006, doc. web n. 1306098; v., inoltre, Provv. 26 luglio 2006, doc. web n. 1318582. comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali: - associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione); - conoscenti, familiari e parenti. Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), rimane impregiudicata la facolta' del datore di lavoro di disciplinare le modalita' del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi (articoli 4, comma 1, lettere g) e h), 29 e 30). Cio', ove necessario, anche mediante consegna di copia di documenti all'uopo predisposti. E' altresi' impregiudicata la facolta' del datore di lavoro di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all'interno di singole unita' produttive, agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche nell'ambito di singole funzioni o unita' organizzative). 5.2. Intranet aziendale. Allo stesso modo, il consenso del lavoratore e' necessario per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in Internet), non risultando tale ampia circolazione di dati personali di regola «necessaria per eseguire obblighi derivanti dal contratto di lavoro» (art. 24, comma 1, lettera b), del Codice). Tali obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a volte risultare pertinente (specie in realta' produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del singolo dipendente, salva specifica disposizione di legge. 5.3. Diffusione. In assenza di specifiche disposizioni normative che impongano al datore di lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24, comma 1, lettera a) o la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24 del Codice, la diffusione stessa puo' avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lettera b) del Codice). E' il caso, ad esempio, dell'affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti 16. Salvo che ricorra una di queste ipotesi, non e' invece di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettivita' dei lavoratori, specie se non correlate all'esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalita' e pertinenza (art. 11 del Codice), come nelle ipotesi di: - affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali 17; - sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie; - assenze dal lavoro per malattia; - iscrizione e/o adesione dei singoli lavoratori ad associazioni. 5.4. Cartellini identificativi. Analogamente, si possono determinare altre forme di diffusione di dati personali quando dette informazioni debbano essere riportate ed esibite su cartellini identificativi appuntati ad esempio sull'abito o sulla divisa del lavoratore (di solito, con lo scopo di migliorare il rapporto fra operatori ed utenti o clienti). Al riguardo, questa Autorita' ha gia' rilevato 18, in relazione allo svolgimento del rapporto di lavoro alle dipendenze di soggetti privati, che l'obbligo di portare in modo visibile un cartellino identificativo puo' trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto puo' essere ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto con il pubblico, si e' ravvisata la sproporzione dell'indicazione sul cartellino di dati personali identificativi (generalita' o dati anagrafici), ben 16 Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11 febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752. 17 Cfr., in relazione alla diffusione di informazioni in grado di rivelare situazioni di handicap, Provv. 27 febbraio 2002, in Boll. n. 25/2002, p. 51, doc. web n. 1063639. 18 Cfr. Provv. 11 dicembre 2000, doc. web n. 30991. potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per se' sole in grado di essere d'ausilio all'utenza. 5.5. Modalita' di comunicazione. Salvi i casi in cui forme e modalita' di divulgazione di dati personali discendano da specifiche previsioni (cfr. art. 174, comma 12, del Codice) 19, il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure piu' opportune per prevenire un'indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario, ancorche' incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali). Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano desumersi vicende personali 20. &ad1;6. Dati idonei a rivelare lo stato di salute di lavoratori. 6.1. Dati sanitari. Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lettera d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, puo' rientrare l'informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi 21. Per tali informazioni, l'ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per contenere, nei limiti dell'indispensabile, i dati dei quali il datore di lavoro puo' venire a conoscenza per dare esecuzione al contratto (cfr. gia' l'art. 8 della legge n. 300/1970). In questo contesto, la disciplina generale contenuta nel Codice deve essere coordinata ed integrata, come si e' visto (cfr. punto 3.3.), con altre regole settoriali 22 o speciali 23. Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5, del Codice). 6.2. Assenze per ragioni di salute. Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermita' (e talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che determini un'incapacita' lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione del contratto). Non diversamente, il datore di lavoro puo' trattare dati relativi a invalidita' o all'appartenenza a categorie protette, nei modi e per le finalita' prescritte dalla vigente normativa in materia. A tale riguardo, infatti, sussiste un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di legge 24, di verificare le reali condizioni di salute del lavoratore. Per attuare tali obblighi viene utilizzata un'apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro con la sola indicazione dell'inizio e della durata presunta dell'infermita': c.d. «prognosi» e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, all'Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d'intesa con la regione, se il lavoratore ha diritto a ricevere l'indennita' di malattia a carico dell'ente previdenziale 25. 19 Cfr. Provv. 12 maggio 2005, doc. web n. 1137798. 20 Cfr., con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su documenti aventi la medesima funzione, Provv. 31 dicembre 1998, in Boll. n. 6, p. 100; v. anche Provv. 19 febbraio 2002, doc. web n. 1063659. 21 Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunita' europee, 6 novembre 2003, C-101/01, Lindqvist. 22 Tra le quali, ad esempio, la richiamata regolamentazione contenuta nel decreto legislativo n. 626/1994 o nell'art. 5 della legge n. 300/1970 sugli accertamenti sanitari facoltativi. 23 Si pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della legge 5 giugno 1990, n. 135, in materia Aids; art. 124 D.P.R. 9 ottobre 1990, n. 309. 24 Cfr. Provv. 15 aprile 2004, doc. web n. 1092564. 25 Cfr. art. 2, d.l. 30 dicembre 1979, n. 663, conv. in legge, con mod., con l'art. 1, legge 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art. 1, legge 30 dicembre 2004, n. 311. Tuttavia, qualora dovessero essere presentati dai lavoratori certificati medici redatti su modulistica diversa da quella sopra descritta, nella quale i dati di prognosi e di diagnosi non siano separati, i datori di lavoro restano obbligati, ove possibile, ad adottare idonee misure e accorgimenti volti a prevenirne la ricezione o, in ogni caso, ad oscurali 26. 6.3. Denuncia all'Inail. Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro puo' anche venire a conoscenza delle condizioni di salute del lavoratore. Tra le fattispecie piu' ricorrenti deve essere annoverata la denuncia all'Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (articoli 13 e 53 decreto del Presidente della Repubblica n. 1124/1965). In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l'obbligo di limitarsi a comunicare all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non pertinente con la conseguente loro inutilizzabilita', trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice) 27. 6.4. Altre informazioni relative alla salute. A tali fattispecie devono essere aggiunti altri casi nei quali puo', parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap 28. Allo stesso modo, il datore di lavoro puo' venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, decreto del Presidente della Repubblica n. 309/1990). 6.5. Comunicazioni all'Inps. E' altresi' legittima la comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennita' in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni indispensabili. In particolare, il datore di lavoro puo' comunicare all'Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, legge 20 maggio 1970, n. 300) 29; a tal fine deve tenere a disposizione e produrre, a richiesta, all'Inps, la documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermita' del lavoratore, ai sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura sanitaria pubblica da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.). 7. Informativa. Il datore di lavoro e' tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa individualizzata completa degli elementi indicati dall'art. 13 del Codice 30. Con particolare riferimento a realta' produttive nelle quali, per ragioni organizzative (ad esempio, per l'articolata dislocazione sul territorio o per il ricorso consistente a forme di out-sourcing) o dimensionali, puo' risultare difficoltoso per il singolo lavoratore esercitare i propri diritti ai sensi dell'art. 7 del Codice, e' opportuna la designazione di un responsabile del trattamento appositamente deputato alla trattazione di tali profili (o di responsabili esterni alla societa', che effettuino, ad esempio, l'attivita' di gestione degli archivi amministrativi dei dipendenti), indicandolo chiaramente nell'informativa fornita. 26 Cfr. di seguito al punto 8. 27 In tal senso v. il Provv. 15 aprile 2004, doc. web n. 1092564. 28 Cfr. art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le pertinenti disposizioni contenute nel d.lg. 26 marzo 2001, n. 151. 29 V. Provv. 28 settembre 2001, cit. 30 V. anche il Parere 8/2001, cit., secondo il quale "i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro". 8. Misure di sicurezza. 8.1. Dati sanitari. Il datore di lavoro titolare del trattamento e' tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione all'eventuale natura sensibile dei medesimi (art. 31 e ss. e Allegato B) al Codice). Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell'interessato; cio', deve trovare attuazione anche con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attivita' amministrative 31). Del pari, nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella descritta al punto 6.2., il datore di lavoro non puo', comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve adottare gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo oscuramento di tali informazioni); cio', al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti non previamente designati come incaricati o responsabili (art. 31 e ss. del Codice). 8.2. Incaricati. Resta fermo l'obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento, che «deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potra' mai essere garantito» 32. 8.3. Misure fisiche ed organizzative. Il datore di lavoro deve adottare, tra l'altro (cfr. articoli 31 ss. del Codice), misure organizzative e fisiche idonee a garantire che: - i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni; - le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalita' tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati; - siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali; - sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati 33; - sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anziche' all'interno di locali chiusi). 9. Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro. 9.1. Diritto di accesso. I lavoratori interessati possono esercitare nei confronti del datore di lavoro i diritti previsti dall'art. 7 del Codice (nei modi di cui agli articoli 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano (anziche', in quanto tale, all'intera documentazione che li contiene 34), di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi. 31 Cfr. Provv. 30 ottobre 2001, doc. web n. 39085. 32 Parere 8/2001, cit. 33 Cfr. Provv. 27 luglio 2004, doc. web n. 1099386. 34 Cfr. Provv. 16 giugno 2005, doc. web n. 1149957. La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a tutti i dati personali che riguardano il lavoratore comunque trattati dall'amministrazione (art. 10) e puo' riguardare anche informazioni di tipo valutativo 35, alle condizioni e nei limiti di cui all'art. 8, comma 5. Tra essi non rientrano notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a persone identificate o identificabili 36. 9.2. Riscontro del datore di lavoro. Il datore di lavoro destinatario della richiesta e' tenuto a fornire un riscontro completo alla richiesta del lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso 37. 9.3. Tempestivita' del riscontro. Il riscontro deve essere fornito nel termine di 15 giorni dal ricevimento dell'istanza dell'interessato (ritualmente presentata 38); il termine piu' lungo, pari a trenta giorni, puo' essere osservato, dandone comunicazione all'interessato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessita' o se ricorre altro giustificato motivo (art. 146 del Codice). Pertanto il datore di lavoro, specie nelle realta' produttive di grande dimensione 39, deve pertanto predisporre procedure organizzative adeguate per dare piena attuazione alle disposizioni del Codice in materia di accesso ai dati e all'esercizio degli altri diritti, anche attraverso l'impiego di appositi programmi finalizzati ad una accurata selezione dei dati relativi a singoli lavoratori, nonche' alla semplificazione delle modalita' e alla compressione dei tempi per il riscontro. 9.4. Modalita' del riscontro. Il riscontro puo' essere fornito anche oralmente; tuttavia, in presenza di una specifica istanza, il datore di lavoro e' tenuto a trasporre i dati su supporto cartaceo o informatico o a trasmetterli all'interessato per via telematica (art. 10). Muovendo dalla previsione dell'art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre accorgimenti idonei «a semplificare le modalita' e a ridurre i tempi per il riscontro al richiedente», puo' risultare legittima la richiesta dell'interessato di ricevere la comunicazione dei dati in questione presso la propria sede lavorativa o la propria abitazione 40. 9.5. Dati personali e documentazione. Come piu' volte dichiarato dal Garante 41, l'esercizio del diritto di accesso consente di ottenere, ai sensi dell'art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest'ultimo il diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi, o la loro innovativa aggregazione secondo specifiche modalita' prospettate dall'interessato o, ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalita' di riscontro (salvo quanto previsto per la trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del Codice). Specie nei casi in cui e' elevata la mole di informazioni personali detenute dal titolare del trattamento, il diritto di accesso ai dati puo' essere soddisfatto mettendo a disposizione dell'interessato il fascicolo personale 42, dal quale successivamente possono essere estratte le informazioni personali. 35 V. gia' Provv. 10 marzo 2001, doc. web n. 40285; cfr. Provv. 15 novembre 2004, doc. web n. 1102939. Raccomandazione n. 1/2001 concernente i dati relativi alla valutazione del personale del Gruppo art. 29, Wp 42. 36 In tal senso, con riguardo ad esempio alle mansioni proprie di un determinato profilo professionale cfr. Provv. 29 ottobre 2003, doc. web n. 1053781. 37 In tal senso cfr., in relazione ad informazioni personali conservate con tecniche di cifratura, Provv. 21 novembre 2001, doc. web n. 39773. 38 Cfr. Provv. 17 febbraio 2005, doc. web n. 1148228, con il quale si e' dichiarato inammissibile un ricorso presentato a seguito di istanza avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali priva di sottoscrizione. 39 Cfr. ad esempio Provv. 2 luglio 2003, doc. web n. 1079989; Provv. 24 giugno 2003, doc. web n. 1132725. 40 Cfr. Provv. 17 marzo 2005, doc. web n. 1170467. 41 Cfr. da ultimo Provv. 7 luglio 2005, doc. web n. 1149559; 42 Provv. 16 giugno 2005, doc. web n. 1149999. La scelta circa l'eventuale esibizione o consegna in copia di atti e documenti contenenti i dati personali richiesti puo' essere effettuata dal titolare del trattamento nel solo caso in cui l'estrapolazione dei dati personali da tali documenti risulti particolarmente difficoltosa per il titolare medesimo 43; devono essere poi omessi eventuali dati personali riferiti a terzi (art. 10, comma 4, del Codice) 44. L'adozione di tale modalita' di riscontro non comporta l'obbligo in capo al titolare di fornire copia di tutti i documenti che contengano i medesimi dati personali dell'interessato, quando gli stessi dati siano conservati in piu' atti, lettere o note. Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli articoli 7 e 8 del Codice, il titolare del trattamento deve, poi, comunicare i dati richiesti ed effettivamente detenuti, e non e' tenuto a ricercare o raccogliere altri dati che non siano nella propria disponibilita' e non siano oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o perche' originariamente trattati e non piu' disponibili, ovvero perche', come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un determinato datore di lavoro, non siano mai stati nell'effettiva e libera disponibilita' di quest'ultimo (si pensi al caso di dati contenuti nella corrispondenza intercorsa tra dipendenti 45) - al di la' dei profili di tutela della segretezza della corrispondenza che pur vengono in rilievo - non competerebbero le decisioni in ordine alle loro finalita' e modalita' di trattamento (cfr. art. 4, comma 1, lettera f), del Codice). 9.6. Aggiornamento. Infine, il lavoratore puo' ottenere l'aggiornamento dei dati personali a se' riferiti 46. In ordine, poi, all'eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima puo' avvenire solo in presenza della prova dell'effettiva e legittima attribuibilita' delle qualifiche rivendicate dall'interessato, ad esempio in base a «decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali relativi all'interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell'applicazione della [disciplina di protezione dei dati personali], la richiesta dell'interessato» (che puo' comunque far valere in altra sede, sulla base di idoneo materiale probatorio, la propria pretesa al riconoscimento della qualifica o mansione rivendicata) 47. 43 Provv. 16 ottobre 2002, doc. web n. 1066447. Cfr. Provv. 25 novembre 2002, doc. web n. 1067321. 44 Cfr. Provv. 20 aprile 2005, doc. web n. 1134190; gia' Provv. 27 dicembre 2001, in Boll., 2001, n. 23, p. 72. 45 Cfr. Provv. 21 dicembre 2005, doc. web n. 1219039. 46 Cfr., in relazione all'aggiornamento del dato relativo al titolo di studio, Provv. 6 settembre 2002, doc. web n. 1066183. 47 Cfr., in relazione all'aggiornamento delle informazioni relative al titolo di studio, Provv. 9 gennaio 2003, doc. web n. 1067817.