GARANTE PER LA PROTEZIONE DEI DATI PERSONALI AUTORIZZAZIONE 12 dicembre 2013 Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro. (Autorizzazione n. 1/2013). (13A10495) (GU n.302 del 27-12-2013)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
AUTORIZZAZIONE 12 dicembre 2013 

Autorizzazione al trattamento dei  dati  sensibili  nei  rapporti  di
lavoro. (Autorizzazione n. 1/2013). (13A10495)
(GU n.302 del 27-12-2013) 


           IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

  In data odierna, con la partecipazione del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
Codice in materia  di  protezione  dei  dati  personali  (di  seguito
"Codice");
  Visto, in particolare, l'art. 4, comma  1,  lett.  d),  del  citato
Codice, il quale individua i dati sensibili;
  Considerato che, ai sensi dell'art. 26,  comma  1,  del  Codice,  i
soggetti privati e gli enti pubblici  economici  possono  trattare  i
dati sensibili solo previa autorizzazione di questa Autorita' e,  ove
necessario,   con   il   consenso    scritto    degli    interessati,
nell'osservanza dei presupposti e dei limiti  stabiliti  dal  Codice,
nonche' dalla legge e dai regolamenti;
  Visto il comma  4,  lett.  d),  del  medesimo  art.  26,  il  quale
stabilisce che i dati sensibili possono essere oggetto di trattamento
anche senza consenso, previa autorizzazione del  Garante,  quando  il
trattamento medesimo e' necessario per adempiere a specifici obblighi
o compiti previsti dalla legge, da un regolamento o  dalla  normativa
comunitaria per la gestione del rapporto di lavoro, anche in  materia
di igiene e sicurezza del lavoro e della popolazione e di  previdenza
e  assistenza,  nei  limiti  previsti  dall'autorizzazione  e   ferme
restando le  disposizioni  del  codice  di  deontologia  e  di  buona
condotta di cui all'art. 111 del Codice;
  Considerato che il trattamento dei dati in  questione  puo'  essere
autorizzato  dal  Garante  anche  d'ufficio  con   provvedimenti   di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
  Considerato che le  autorizzazioni  di  carattere  generale  sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti  di  autorizzazione  da  parte  di
numerosi titolari del trattamento;
  Ritenuto opportuno rilasciare nuove autorizzazioni in  sostituzione
di  quelle  in  scadenza  il  31  dicembre  2013,   armonizzando   le
prescrizioni gia' impartite alla luce dell'esperienza maturata;
  Ritenuto  opportuno  che  anche  tali  nuove  autorizzazioni  siano
provvisorie e a tempo determinato, ai sensi dell'art.  41,  comma  5,
del Codice e, in particolare, efficaci per il periodo di dodici mesi;
  Considerata la  necessita'  di  garantire  il  rispetto  di  alcuni
principi volti a ridurre al minimo i rischi di danno  o  di  pericolo
che i trattamenti potrebbero comportare per i diritti e  le  liberta'
fondamentali,  nonche'  per  la  dignita'  delle   persone,   e,   in
particolare, per  il  diritto  alla  protezione  dei  dati  personali
sancito dall'art. 1 del Codice;
  Considerato che un elevato numero di trattamenti di dati  sensibili
e' effettuato nell'ambito dei rapporti di lavoro;
  Visto l'art. 11, comma 2, del Codice, il  quale  stabilisce  che  i
dati trattati in violazione della disciplina rilevante in materia  di
trattamento di dati personali non possono essere utilizzati;
  Visti gli artt. 31 e seguenti del Codice e il disciplinare  tecnico
di cui all'Allegato B) al medesimo  Codice  recanti  norme  e  regole
sulle misure di sicurezza;
  Visto l'art. 41 del Codice;
  Visti  gli  artt.  42  e  seguenti  del  Codice   in   materia   di
trasferimento di dati personali all'estero;
  Visto l'art. 167 del Codice;
  Visti gli atti d'ufficio;
  Viste  le  osservazioni  dell'Ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore la prof.ssa Licia Califano;

                              Autorizza

il trattamento dei dati sensibili di cui all'art. 4, comma  1,  lett.
d), del Codice, finalizzato alla gestione  dei  rapporti  di  lavoro,
secondo le prescrizioni di seguito indicate.
  Prima di iniziare o proseguire il trattamento i sistemi informativi
e i  programmi  informatici  sono  configurati  riducendo  al  minimo
l'utilizzazione di dati personali e di dati identificativi,  in  modo
da escluderne il  trattamento  quando  le  finalita'  perseguite  nei
singoli casi possono  essere  realizzate  mediante,  rispettivamente,
dati anonimi od opportune modalita' che  permettano  di  identificare
l'interessato solo in caso di necessita', in conformita'  all'art.  3
del Codice.
1) Ambito di applicazione.
  La presente autorizzazione e' rilasciata:
    a)  alle  persone  fisiche  e  giuridiche,  alle  imprese,  anche
sociali, agli enti, alle associazioni e agli organismi che sono parte
di un rapporto di lavoro  o  che  utilizzano  prestazioni  lavorative
anche atipiche, parziali o temporanee, o che comunque conferiscono un
incarico professionale alle figure indicate al  successivo  punto  2,
lettere b) e c);
    b) ad  organismi  paritetici  o  che  gestiscono  osservatori  in
materia di lavoro, previsti dalla normativa comunitaria, dalle leggi,
dai regolamenti o dai contratti collettivi anche aziendali;
  l'autorizzazione riguarda anche l'attivita' svolta:
    c) dal medico competente in materia di igiene e di sicurezza  del
lavoro, in qualita' di libero  professionista  o  di  dipendente  dei
soggetti di cui alla lettera a) o di strutture convenzionate;
    d) dal rappresentante dei  lavoratori  per  la  sicurezza,  anche
territoriale e di sito;
    e) da associazioni, organizzazioni, federazioni o  confederazioni
rappresentative di categorie di datori di lavoro,  al  solo  fine  di
perseguire le finalita' di cui al punto 3), lettera h).
2) Interessati ai quali i dati si riferiscono.
  Il trattamento puo' riguardare i dati sensibili attinenti:
    a) a lavoratori subordinati, anche se parti di  un  contratto  di
apprendistato, o di formazione e  lavoro,  o  di  inserimento,  o  di
lavoro ripartito, o di lavoro intermittente o a chiamata, o di lavoro
occasionale ovvero prestatori di lavoro nell'ambito di  un  contratto
di somministrazione di lavoro, o in rapporto di tirocinio, ovvero  ad
associati anche in compartecipazione e,  se  necessario  in  base  ai
punti 3) e 4), ai relativi familiari e conviventi;
    b)  a  consulenti  e  a   liberi   professionisti,   ad   agenti,
rappresentanti e mandatari;
    c)  a  soggetti   che   effettuano   prestazioni   coordinate   e
continuative, anche nella modalita' di lavoro a progetto, o ad  altri
lavoratori autonomi in rapporto di collaborazione, anche sotto  forma
di prestazioni di lavoro accessorio, con i soggetti di cui  al  punto
1);
    d) a candidati all'instaurazione dei rapporti di  lavoro  di  cui
alle lettere precedenti, fatta salva l'ipotesi prevista dall'art. 26,
comma 3, lett. b-bis), del Codice  relativamente  ai  dati  sensibili
indispensabili contenuti in curricula spontaneamente trasmessi  dagli
interessati ai fini dell'instaurazione di un rapporto di lavoro;
    e) a persone  fisiche  che  ricoprono  cariche  sociali  o  altri
incarichi nelle persone giuridiche, negli enti, nelle associazioni  e
negli organismi di cui al punto 1);
    f) a terzi danneggiati nell'esercizio dell'attivita' lavorativa o
professionale dai soggetti di cui alle precedenti lettere.
3) Finalita' del trattamento.
  Il trattamento dei dati sensibili deve essere indispensabile:
    a)  per  adempiere  o  per  esigere  l'adempimento  di  specifici
obblighi o per eseguire specifici compiti  previsti  dalla  normativa
comunitaria, da leggi, da regolamenti o da contratti collettivi anche
aziendali, in particolare ai  fini  dell'instaurazione,  gestione  ed
estinzione del rapporto di  lavoro,  nonche'  del  riconoscimento  di
agevolazioni ovvero dell'erogazione di contributi,  dell'applicazione
della  normativa  in  materia  di  previdenza  ed  assistenza   anche
integrativa, o in materia di igiene e sicurezza del  lavoro  o  della
popolazione, nonche' in materia fiscale, sindacale, di  tutela  della
salute, dell'ordine e della sicurezza pubblica;
    b) anche fuori dei casi di cui alla lettera  a),  in  conformita'
alla legge e per scopi determinati e legittimi, ai fini della  tenuta
della contabilita'  o  della  corresponsione  di  stipendi,  assegni,
premi, altri emolumenti, liberalita' o benefici accessori;
    c)  per  perseguire  finalita'  di  salvaguardia  della  vita   o
dell'incolumita' fisica del lavoratore o di un terzo;
    d) per far valere o difendere un diritto anche  da  parte  di  un
terzo in sede giudiziaria, nonche' in  sede  amministrativa  o  nelle
procedure di arbitrato e di conciliazione  nei  casi  previsti  dalle
leggi, dalla normativa comunitaria, dai regolamenti o  dai  contratti
collettivi, sempre che i dati siano trattati esclusivamente per  tali
finalita'  e  per  il  periodo  strettamente   necessario   al   loro
perseguimento. Qualora i dati siano idonei a  rivelare  lo  stato  di
salute e la vita sessuale, il diritto da far valere o difendere  deve
essere di rango pari a quello dell'interessato, ovvero consistente in
un diritto della personalita'  o  in  un  altro  diritto  o  liberta'
fondamentale e inviolabile;
    e)  per  esercitare  il   diritto   di   accesso   ai   documenti
amministrativi, nel rispetto di quanto stabilito dalle  leggi  e  dai
regolamenti in materia;
    f)  per  adempiere  ad  obblighi  derivanti   da   contratti   di
assicurazione finalizzati alla copertura  dei  rischi  connessi  alla
responsabilita' del datore di  lavoro  in  materia  di  igiene  e  di
sicurezza del lavoro e  di  malattie  professionali  o  per  i  danni
cagionati  a  terzi  nell'esercizio   dell'attivita'   lavorativa   o
professionale;
    g) per garantire le pari opportunita' nel lavoro;
    h) per perseguire scopi determinati e legittimi individuati dagli
statuti di associazioni, organizzazioni, federazioni o confederazioni
rappresentative di categorie di datori  di  lavoro  o  dai  contratti
collettivi, in materia di assistenza sindacale ai datori di lavoro.
4) Categorie di dati.
  Il  trattamento  puo'  avere  per  oggetto  i   dati   strettamente
pertinenti ai sopra indicati obblighi, compiti o  finalita'  che  non
possano essere adempiuti o realizzati, caso  per  caso,  mediante  il
trattamento di dati anonimi o di dati personali di natura diversa,  e
in particolare:
    a)  nell'ambito  dei  dati  idonei  a  rivelare  le   convinzioni
religiose, filosofiche  o  di  altro  genere,  ovvero  l'adesione  ad
associazioni od organizzazioni a carattere religioso o filosofico,  i
dati concernenti la fruizione di permessi e festivita' religiose o di
servizi di mensa, nonche' la manifestazione, nei casi previsti  dalla
legge, dell'obiezione di coscienza;
    b) nell'ambito dei dati idonei a rivelare le opinioni  politiche,
l'adesione a partiti, sindacati,  associazioni  od  organizzazioni  a
carattere politico o sindacale, i  dati  concernenti  l'esercizio  di
funzioni pubbliche  e  di  incarichi  politici,  di  attivita'  o  di
incarichi sindacali (sempre che il trattamento sia effettuato ai fini
della fruizione di permessi o di periodi di aspettativa  riconosciuti
dalla  legge  o,  eventualmente,  dai  contratti   collettivi   anche
aziendali), ovvero l'organizzazione di pubbliche iniziative,  nonche'
i dati inerenti alle trattenute per  il  versamento  delle  quote  di
servizio sindacale o delle quote di  iscrizione  ad  associazioni  od
organizzazioni politiche o sindacali;
    c) nell'ambito dei dati idonei a rivelare lo stato di  salute,  i
dati raccolti e ulteriormente trattati in riferimento a  invalidita',
infermita', gravidanza, puerperio o allattamento,  ad  infortuni,  ad
esposizioni  a  fattori  di  rischio,  all'idoneita'  psico-fisica  a
svolgere  determinate  mansioni,   all'appartenenza   a   determinate
categorie protette, nonche' i  dati  contenuti  nella  certificazione
sanitaria  attestante  lo  stato  di  malattia,  anche  professionale
dell'interessato, o comunque  relativi  anche  all'indicazione  della
malattia come specifica causa di assenza del lavoratore.
5) Modalita' di trattamento.
  Fermi restando gli obblighi  previsti  dagli  artt.  11  e  14  del
Codice, nonche' dagli artt. 31 e seguenti del Codice e  dall'Allegato
B) al medesimo Codice, il trattamento dei dati sensibili deve  essere
effettuato unicamente con operazioni, nonche' con logiche e  mediante
forme di  organizzazione  dei  dati  strettamente  indispensabili  in
rapporto ai sopra indicati obblighi, compiti o finalita'.
  I dati sono raccolti, di regola, presso l'interessato.
  La comunicazione di dati all'interessato deve  avvenire  di  regola
direttamente a quest'ultimo o  a  un  suo  delegato  (fermo  restando
quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o
con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti
non autorizzati,  anche  attraverso  la  previsione  di  distanze  di
cortesia.
  Restano inoltre fermi gli obblighi di  informare  l'interessato  e,
ove necessario, di acquisirne il consenso scritto, in  conformita'  a
quanto previsto dagli articoli 13, 23 e 26 del Codice.
6) Conservazione dei dati.
  Nel quadro del rispetto dell'obbligo previsto dall'art.  11,  comma
1, lettera e), del Codice, i dati sensibili possono essere conservati
per un periodo non superiore a quello necessario per  adempiere  agli
obblighi o ai compiti di cui al punto 3), ovvero  per  perseguire  le
finalita' ivi  menzionate.  A  tal  fine,  anche  mediante  controlli
periodici,  deve   essere   verificata   costantemente   la   stretta
pertinenza, non eccedenza e indispensabilita' dei  dati  rispetto  al
rapporto, alla prestazione o all'incarico in corso, da  instaurare  o
cessati, anche con riferimento ai dati che l'interessato fornisce  di
propria iniziativa. I dati che,  anche  a  seguito  delle  verifiche,
risultano eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione,  a  norma
di legge, dell'atto  o  del  documento  che  li  contiene.  Specifica
attenzione e' prestata per l'indispensabilita' dei  dati  riferiti  a
soggetti  diversi  da  quelli  cui  si  riferiscono  direttamente  le
prestazioni e gli adempimenti.
7) Comunicazione e diffusione dei dati.
  I dati sensibili  possono  essere  comunicati  e,  ove  necessario,
diffusi nei limiti strettamente pertinenti agli obblighi, ai  compiti
o alle finalita' di cui al punto 3), a soggetti pubblici  o  privati,
ivi compresi organismi sanitari,  casse  e  fondi  di  previdenza  ed
assistenza  sanitaria  integrativa  anche  aziendale,   istituti   di
patronato e di assistenza  sociale,  centri  di  assistenza  fiscale,
agenzie per il lavoro, associazioni ed  organizzazioni  sindacali  di
datori di lavoro e di prestatori di  lavoro,  liberi  professionisti,
societa' esterne titolari  di  un  autonomo  trattamento  di  dati  e
familiari dell'interessato.
  Ai sensi dell'art. 26,  comma  5,  del  Codice,  i  dati  idonei  a
rivelare lo stato di salute non possono essere diffusi.
8) Richieste di autorizzazione.
  I  titolari  dei   trattamenti   che   rientrano   nell'ambito   di
applicazione  della  presente  autorizzazione  non  sono   tenuti   a
presentare  una  richiesta  di  autorizzazione  a  questa  Autorita',
qualora il trattamento che si intende effettuare  sia  conforme  alle
prescrizioni suddette.
  Le richieste di autorizzazione pervenute o  che  perverranno  anche
successivamente alla data di  adozione  del  presente  provvedimento,
devono  intendersi  accolte  nei  termini  di  cui  al  provvedimento
medesimo.
  Il  Garante  non   prendera'   in   considerazione   richieste   di
autorizzazione per trattamenti da effettuarsi  in  difformita'  dalle
prescrizioni  del  presente  provvedimento,  salvo  che,   ai   sensi
dell'art. 41 del Codice, il loro  accoglimento  sia  giustificato  da
circostanze del tutto particolari o  da  situazioni  eccezionali  non
considerate nella presente autorizzazione.
9) Norme finali.
  Restano fermi  gli  obblighi  previsti  da  norme  di  legge  o  di
regolamento, ovvero dalla  normativa  comunitaria,  che  stabiliscono
divieti o limiti in materia di trattamento di dati  personali  e,  in
particolare, dalle disposizioni contenute:
    a) nell'art. 8 della legge 20 maggio 1970, n. 300, che  vieta  al
datore di lavoro ai fini  dell'assunzione  e  nello  svolgimento  del
rapporto di lavoro, di effettuare indagini, anche a mezzo  di  terzi,
sulle opinioni  politiche,  religiose  o  sindacali  del  lavoratore,
nonche'  su  fatti  non   rilevanti   ai   fini   della   valutazione
dell'attitudine professionale del lavoratore;
    b) nell'art. 6 della legge 5 giugno 1990, n. 135,  che  vieta  ai
datori di lavoro lo svolgimento di indagini volte ad  accertare,  nei
dipendenti o in persone prese in considerazione  per  l'instaurazione
di  un  rapporto   di   lavoro,   l'esistenza   di   uno   stato   di
sieropositivita';
    c) nelle  norme  in  materia  di  pari  opportunita'  o  volte  a
prevenire discriminazioni;
    d) fermo restando quanto disposto  dall'art.  8  della  legge  20
maggio  1970,  n.  300,  nell'art.  10  del  decreto  legislativo  10
settembre 2003, n. 276, che vieta alle agenzie per il lavoro  e  agli
altri  soggetti  privati  autorizzati  o  accreditati  di  effettuare
qualsivoglia indagine  o  comunque  trattamento  di  dati  ovvero  di
preselezione di lavoratori, anche con il loro consenso, in base  alle
convinzioni personali, alla affiliazione  sindacale  o  politica,  al
credo religioso, al  sesso,  all'orientamento  sessuale,  allo  stato
matrimoniale o di famiglia o di gravidanza, alla eta',  all'handicap,
alla  razza,  all'origine  etnica,  al   colore,   alla   ascendenza,
all'origine nazionale, al gruppo linguistico, allo stato di salute  e
ad eventuali controversie con i precedenti datori di lavoro,  nonche'
di trattare dati personali dei lavoratori che non siano  strettamente
attinenti alle loro attitudini professionali e  al  loro  inserimento
lavorativo.
10) Efficacia temporale.
  La presente autorizzazione ha efficacia a decorrere dal 1°  gennaio
2014 fino al 31 dicembre  2014,  salve  eventuali  modifiche  che  il
Garante ritenga  di  dover  apportare  in  conseguenza  di  eventuali
novita' normative rilevanti in materia.
  La  presente  autorizzazione  sara'   pubblicata   nella   Gazzetta
Ufficiale della Repubblica italiana.
    Roma, 12 dicembre 2013

                            Il presidente
                                Soro


                             Il relatore
                              Califano


                       Il segretario generale
                                Busia