Translate

mercoledì 31 dicembre 2014

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI AUTORIZZAZIONE 11 dicembre 2014 Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro. (Autorizzazione n. 1/2014). (14A09911) (GU n.301 del 30-12-2014)



         GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

AUTORIZZAZIONE 11 dicembre 2014 
Autorizzazione al trattamento dei  dati  sensibili  nei  rapporti  di
lavoro. (Autorizzazione n. 1/2014). (14A09911) 
(GU n.301 del 30-12-2014)

 
 
 
           IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 
 
  In data odierna, con la partecipazione del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
Codice in materia  di  protezione  dei  dati  personali  (di  seguito
«Codice»); 
  Visto, in particolare, l'art. 4, comma  1,  lett.  d),  del  citato
Codice, il quale individua i dati sensibili; 
  Considerato che, ai sensi dell'art. 26,  comma  1,  del  Codice,  i
soggetti privati e gli enti pubblici  economici  possono  trattare  i
dati sensibili solo previa autorizzazione di questa Autorita' e,  ove
necessario,   con   il   consenso    scritto    degli    interessati,
nell'osservanza dei presupposti e dei limiti  stabiliti  dal  Codice,
nonche' dalla legge e dai regolamenti; 
  Visto il comma  4,  lett.  d),  del  medesimo  art.  26,  il  quale
stabilisce che i dati sensibili possono essere oggetto di trattamento
anche senza consenso, previa autorizzazione del  Garante,  quando  il
trattamento medesimo e' necessario per adempiere a specifici obblighi
o compiti previsti dalla legge, da un regolamento o  dalla  normativa
comunitaria per la gestione del rapporto di lavoro, anche in  materia
di igiene e sicurezza del lavoro e della popolazione e di  previdenza
e  assistenza,  nei  limiti  previsti  dall'autorizzazione  e   ferme
restando le  disposizioni  del  codice  di  deontologia  e  di  buona
condotta di cui all'art. 111 del Codice; 
  Considerato che il trattamento dei dati in  questione  puo'  essere
autorizzato  dal  Garante  anche  d'ufficio  con   provvedimenti   di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice); 
  Considerato che le  autorizzazioni  di  carattere  generale  sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti  di  autorizzazione  da  parte  di
numerosi titolari del trattamento; 
  Ritenuto opportuno rilasciare nuove autorizzazioni in  sostituzione
di  quelle  in  scadenza  il  31  dicembre  2014,   armonizzando   le
prescrizioni gia' impartite alla luce dell'esperienza maturata; 
  Ritenuto  opportuno  che  anche  tali  nuove  autorizzazioni  siano
provvisorie e a tempo determinato, ai sensi dell'art.  41,  comma  5,
del Codice e, in particolare, efficaci per il periodo di ventiquattro
mesi; 
  Considerata la  necessita'  di  garantire  il  rispetto  di  alcuni
principi volti a ridurre al minimo i rischi di danno  o  di  pericolo
che i trattamenti potrebbero comportare per i diritti e  le  liberta'
fondamentali,  nonche'  per  la  dignita'  delle   persone,   e,   in
particolare, per  il  diritto  alla  protezione  dei  dati  personali
sancito dall'art. 1 del Codice; 
  Considerato che un elevato numero di trattamenti di dati  sensibili
e' effettuato nell'ambito dei rapporti di lavoro; 
  Visto l'art. 11, comma 2, del Codice, il  quale  stabilisce  che  i
dati trattati in violazione della disciplina rilevante in materia  di
trattamento di dati personali non possono essere utilizzati; 
  Visti gli artt. 31 e seguenti del Codice e il disciplinare  tecnico
di cui all'Allegato B) al medesimo  Codice  recanti  norme  e  regole
sulle misure di sicurezza; 
  Visto l'art. 41 del Codice; 
  Visti  gli  artt.  42  e  seguenti  del  Codice   in   materia   di
trasferimento di dati personali all'estero; 
  Visto l'art. 167 del Codice; 
  Visti gli atti d'ufficio; 
  Viste  le  osservazioni  dell'Ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; 
  Relatore la prof.ssa Licia Califano; 
 
                              Autorizza 
 
  il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett.
d), del Codice, finalizzato alla gestione  dei  rapporti  di  lavoro,
secondo le prescrizioni di seguito indicate. 
  Prima di iniziare o proseguire il trattamento i sistemi informativi
e i  programmi  informatici  sono  configurati  riducendo  al  minimo
l'utilizzazione di dati personali e di dati identificativi,  in  modo
da escluderne il  trattamento  quando  le  finalita'  perseguite  nei
singoli casi possono  essere  realizzate  mediante,  rispettivamente,
dati anonimi od opportune modalita' che  permettano  di  identificare
l'interessato solo in caso di necessita', in conformita'  all'art.  3
del Codice. 
1) Ambito di applicazione. 
  La presente autorizzazione e' rilasciata: 
  a) alle persone fisiche e giuridiche, alle imprese, anche  sociali,
agli enti, alle associazioni e agli organismi che sono  parte  di  un
rapporto di lavoro o  che  utilizzano  prestazioni  lavorative  anche
atipiche, parziali o  temporanee,  o  che  comunque  conferiscono  un
incarico professionale alle figure indicate al  successivo  punto  2,
lettere b) e c); 
  b) ad organismi paritetici o che gestiscono osservatori in  materia
di lavoro, previsti dalla normativa  comunitaria,  dalle  leggi,  dai
regolamenti o dai contratti collettivi anche aziendali; 
  l'autorizzazione riguarda anche l'attivita' svolta: 
  c) dal medico competente in materia di igiene e  di  sicurezza  del
lavoro, in qualita' di libero  professionista  o  di  dipendente  dei
soggetti di cui alla lettera a) o di strutture convenzionate; 
  d) dal  rappresentante  dei  lavoratori  per  la  sicurezza,  anche
territoriale e di sito; 
  e) da associazioni, organizzazioni,  federazioni  o  confederazioni
rappresentative di categorie di datori di lavoro,  al  solo  fine  di
perseguire le finalita' di cui al punto 3), lettera h). 
2) Interessati ai quali i dati si riferiscono. 
  Il trattamento puo' riguardare i dati sensibili attinenti: 
  a) a lavoratori subordinati, anche se  parti  di  un  contratto  di
apprendistato, o di formazione e  lavoro,  o  di  inserimento,  o  di
lavoro ripartito, o di lavoro intermittente o a chiamata, o di lavoro
occasionale ovvero prestatori di lavoro nell'ambito di  un  contratto
di somministrazione di lavoro, o in rapporto di tirocinio, ovvero  ad
associati anche in compartecipazione e,  se  necessario  in  base  ai
punti 3) e 4), ai relativi familiari e conviventi; 
  b)  a  consulenti   e   a   liberi   professionisti,   ad   agenti,
rappresentanti e mandatari; 
  c) a soggetti che effettuano prestazioni coordinate e continuative,
anche nella modalita' di lavoro a progetto,  o  ad  altri  lavoratori
autonomi  in  rapporto  di  collaborazione,  anche  sotto  forma   di
prestazioni di lavoro accessorio, con i soggetti di cui al punto 1); 
  d) a candidati all'instaurazione dei rapporti di lavoro di cui alle
lettere precedenti, fatta  salva  l'ipotesi  prevista  dall'art.  26,
comma 3, lett. b-bis), del Codice  relativamente  ai  dati  sensibili
indispensabili contenuti in curricula spontaneamente trasmessi  dagli
interessati ai fini dell'instaurazione di un rapporto di lavoro; 
  e)  a  persone  fisiche  che  ricoprono  cariche  sociali  o  altri
incarichi nelle persone giuridiche, negli enti, nelle associazioni  e
negli organismi di cui al punto 1); 
  f) a terzi danneggiati nell'esercizio dell'attivita'  lavorativa  o
professionale dai soggetti di cui alle precedenti lettere. 
3) Finalita' del trattamento. 
  Il trattamento dei dati sensibili deve essere indispensabile: 
  a) per adempiere o per esigere l'adempimento di specifici  obblighi
o  per  eseguire   specifici   compiti   previsti   dalla   normativa
comunitaria, da leggi, da regolamenti o da contratti collettivi anche
aziendali, in particolare ai  fini  dell'instaurazione,  gestione  ed
estinzione del rapporto di  lavoro,  nonche'  del  riconoscimento  di
agevolazioni ovvero dell'erogazione di contributi,  dell'applicazione
della  normativa  in  materia  di  previdenza  ed  assistenza   anche
integrativa, o in materia di igiene e sicurezza del  lavoro  o  della
popolazione, nonche' in materia fiscale, sindacale, di  tutela  della
salute, dell'ordine e della sicurezza pubblica; 
  b) anche fuori dei casi di cui alla lettera a), in conformita' alla
legge e per scopi determinati e legittimi, ai fini della tenuta della
contabilita' o della  corresponsione  di  stipendi,  assegni,  premi,
altri emolumenti, liberalita' o benefici accessori; 
  c)  per  perseguire  finalita'  di  salvaguardia   della   vita   o
dell'incolumita' fisica del lavoratore o di un terzo; 
  d) per far valere o difendere un diritto anche da parte di un terzo
in sede giudiziaria, nonche' in sede amministrativa o nelle procedure
di arbitrato e di conciliazione nei casi previsti dalle leggi,  dalla
normativa comunitaria, dai regolamenti o  dai  contratti  collettivi,
sempre che i dati siano trattati esclusivamente per tali finalita'  e
per il periodo strettamente necessario al loro perseguimento. Qualora
i dati siano idonei a rivelare lo stato di salute e la vita sessuale,
il diritto da far valere o difendere deve  essere  di  rango  pari  a
quello dell'interessato,  ovvero  consistente  in  un  diritto  della
personalita'  o  in  un  altro  diritto  o  liberta'  fondamentale  e
inviolabile; 
  e)  per   esercitare   il   diritto   di   accesso   ai   documenti
amministrativi, nel rispetto di quanto stabilito dalle  leggi  e  dai
regolamenti in materia; 
    f)  per  adempiere  ad  obblighi  derivanti   da   contratti   di
assicurazione finalizzati alla copertura  dei  rischi  connessi  alla
responsabilita' del datore di  lavoro  in  materia  di  igiene  e  di
sicurezza del lavoro e  di  malattie  professionali  o  per  i  danni
cagionati  a  terzi  nell'esercizio   dell'attivita'   lavorativa   o
professionale; 
  g) per garantire le pari opportunita' nel lavoro; 
  h) per perseguire scopi determinati e legittimi  individuati  dagli
statuti di associazioni, organizzazioni, federazioni o confederazioni
rappresentative di categorie di datori  di  lavoro  o  dai  contratti
collettivi, in materia di assistenza sindacale ai datori di lavoro. 
4) Categorie di dati. 
  Il  trattamento  puo'  avere  per  oggetto  i   dati   strettamente
pertinenti ai sopra indicati obblighi, compiti o  finalita'  che  non
possano essere adempiuti o realizzati, caso  per  caso,  mediante  il
trattamento di dati anonimi o di dati personali di natura diversa,  e
in particolare: 
  a) nell'ambito dei dati idonei a rivelare le convinzioni religiose,
filosofiche o di altro genere, ovvero l'adesione ad  associazioni  od
organizzazioni a carattere religioso o filosofico, i dati concernenti
la fruizione di permessi e  festivita'  religiose  o  di  servizi  di
mensa, nonche' la manifestazione,  nei  casi  previsti  dalla  legge,
dell'obiezione di coscienza; 
  b) nell'ambito dei dati idonei a rivelare  le  opinioni  politiche,
l'adesione a partiti, sindacati,  associazioni  od  organizzazioni  a
carattere politico o sindacale, i  dati  concernenti  l'esercizio  di
funzioni pubbliche  e  di  incarichi  politici,  di  attivita'  o  di
incarichi sindacali (sempre che il trattamento sia effettuato ai fini
della fruizione di permessi o di periodi di aspettativa  riconosciuti
dalla  legge  o,  eventualmente,  dai  contratti   collettivi   anche
aziendali), ovvero l'organizzazione di pubbliche iniziative,  nonche'
i dati inerenti alle trattenute per  il  versamento  delle  quote  di
servizio sindacale o delle quote di  iscrizione  ad  associazioni  od
organizzazioni politiche o sindacali; 
    c) nell'ambito dei dati idonei a rivelare lo stato di  salute,  i
dati raccolti e ulteriormente trattati in riferimento a  invalidita',
infermita', gravidanza, puerperio o allattamento,  ad  infortuni,  ad
esposizioni  a  fattori  di  rischio,  all'idoneita'  psico-fisica  a
svolgere  determinate  mansioni,   all'appartenenza   a   determinate
categorie protette, nonche' i  dati  contenuti  nella  certificazione
sanitaria  attestante  lo  stato  di  malattia,  anche  professionale
dell'interessato, o comunque  relativi  anche  all'indicazione  della
malattia come specifica causa di assenza del lavoratore. 
5) Modalita' di trattamento. 
  Fermi restando gli obblighi  previsti  dagli  artt.  11  e  14  del
Codice, nonche' dagli artt. 31 e seguenti del Codice e  dall'Allegato
B) al medesimo Codice, il trattamento dei dati sensibili deve  essere
effettuato unicamente con operazioni, nonche' con logiche e  mediante
forme di  organizzazione  dei  dati  strettamente  indispensabili  in
rapporto ai sopra indicati obblighi, compiti o finalita'. 
  I dati sono raccolti, di regola, presso l'interessato. 
  La comunicazione di dati all'interessato deve  avvenire  di  regola
direttamente a quest'ultimo o  a  un  suo  delegato  (fermo  restando
quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o
con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti
non autorizzati,  anche  attraverso  la  previsione  di  distanze  di
cortesia. 
  Restano inoltre fermi gli obblighi di  informare  l'interessato  e,
ove necessario, di acquisirne il consenso scritto, in  conformita'  a
quanto previsto dagli articoli 13, 23 e 26 del Codice. 
6) Conservazione dei dati. 
  Nel quadro del rispetto dell'obbligo previsto dall'art.  11,  comma
1, lettera e), del Codice, i dati sensibili possono essere conservati
per un periodo non superiore a quello necessario per  adempiere  agli
obblighi o ai compiti di cui al punto 3), ovvero  per  perseguire  le
finalita' ivi  menzionate.  A  tal  fine,  anche  mediante  controlli
periodici,  deve   essere   verificata   costantemente   la   stretta
pertinenza, non eccedenza e indispensabilita' dei  dati  rispetto  al
rapporto, alla prestazione o all'incarico in corso, da  instaurare  o
cessati, anche con riferimento ai dati che l'interessato fornisce  di
propria iniziativa. I dati che,  anche  a  seguito  delle  verifiche,
risultano eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione,  a  norma
di legge, dell'atto  o  del  documento  che  li  contiene.  Specifica
attenzione e' prestata per l'indispensabilita' dei  dati  riferiti  a
soggetti  diversi  da  quelli  cui  si  riferiscono  direttamente  le
prestazioni e gli adempimenti. 
7) Comunicazione e diffusione dei dati. 
  I dati sensibili  possono  essere  comunicati  e,  ove  necessario,
diffusi nei limiti strettamente pertinenti agli obblighi, ai  compiti
o alle finalita' di cui al punto 3), a soggetti pubblici  o  privati,
ivi compresi organismi sanitari,  casse  e  fondi  di  previdenza  ed
assistenza  sanitaria  integrativa  anche  aziendale,   istituti   di
patronato e di assistenza  sociale,  centri  di  assistenza  fiscale,
agenzie per il lavoro, associazioni ed  organizzazioni  sindacali  di
datori di lavoro e di prestatori di  lavoro,  liberi  professionisti,
societa' esterne titolari  di  un  autonomo  trattamento  di  dati  e
familiari dell'interessato. 
  Ai sensi dell'art. 26,  comma  5,  del  Codice,  i  dati  idonei  a
rivelare lo stato di salute non possono essere diffusi. 
8) Richieste di autorizzazione. 
  I  titolari  dei   trattamenti   che   rientrano   nell'ambito   di
applicazione  della  presente  autorizzazione  non  sono   tenuti   a
presentare  una  richiesta  di  autorizzazione  a  questa  Autorita',
qualora il trattamento che si intende effettuare  sia  conforme  alle
prescrizioni suddette. 
  Le richieste di autorizzazione pervenute o  che  perverranno  anche
successivamente alla data di  adozione  del  presente  provvedimento,
devono  intendersi  accolte  nei  termini  di  cui  al  provvedimento
medesimo. 
  Il  Garante  non   prendera'   in   considerazione   richieste   di
autorizzazione per trattamenti da effettuarsi  in  difformita'  dalle
prescrizioni  del  presente  provvedimento,  salvo  che,   ai   sensi
dell'art. 41 del Codice, il loro  accoglimento  sia  giustificato  da
circostanze del tutto particolari o  da  situazioni  eccezionali  non
considerate nella presente autorizzazione. 
9) Norme finali. 
  Restano fermi  gli  obblighi  previsti  da  norme  di  legge  o  di
regolamento, ovvero dalla  normativa  comunitaria,  che  stabiliscono
divieti o limiti in materia di trattamento di dati  personali  e,  in
particolare, dalle disposizioni contenute: 
  a) nell'art. 8 della legge 20 maggio 1970, n.  300,  che  vieta  al
datore di lavoro ai fini  dell'assunzione  e  nello  svolgimento  del
rapporto di lavoro, di effettuare indagini, anche a mezzo  di  terzi,
sulle opinioni  politiche,  religiose  o  sindacali  del  lavoratore,
nonche'  su  fatti  non   rilevanti   ai   fini   della   valutazione
dell'attitudine professionale del lavoratore; 
  b) nell'art. 6 della legge 5 giugno 1990,  n.  135,  che  vieta  ai
datori di lavoro lo svolgimento di indagini volte ad  accertare,  nei
dipendenti o in persone prese in considerazione  per  l'instaurazione
di  un  rapporto   di   lavoro,   l'esistenza   di   uno   stato   di
sieropositivita'; 
  c) nelle norme in materia di pari opportunita' o volte a  prevenire
discriminazioni; 
    d) fermo restando quanto disposto  dall'art.  8  della  legge  20
maggio  1970,  n.  300,  nell'art.  10  del  decreto  legislativo  10
settembre 2003, n. 276, che vieta alle agenzie per il lavoro  e  agli
altri  soggetti  privati  autorizzati  o  accreditati  di  effettuare
qualsivoglia indagine  o  comunque  trattamento  di  dati  ovvero  di
preselezione di lavoratori, anche con il loro consenso, in base  alle
convinzioni personali, alla affiliazione  sindacale  o  politica,  al
credo religioso, al  sesso,  all'orientamento  sessuale,  allo  stato
matrimoniale o di famiglia o di gravidanza, alla eta',  all'handicap,
alla  razza,  all'origine  etnica,  al   colore,   alla   ascendenza,
all'origine nazionale, al gruppo linguistico, allo stato di salute  e
ad eventuali controversie con i precedenti datori di lavoro,  nonche'
di trattare dati personali dei lavoratori che non siano  strettamente
attinenti alle loro attitudini professionali e  al  loro  inserimento
lavorativo. 
10) Efficacia temporale. 
  La presente autorizzazione ha efficacia a decorrere dal 1°  gennaio
2015 fino al 31 dicembre  2016,  salve  eventuali  modifiche  che  il
Garante ritenga  di  dover  apportare  in  conseguenza  di  eventuali
novita' normative rilevanti in materia. 
  La  presente  autorizzazione  sara'   pubblicata   nella   Gazzetta
Ufficiale della Repubblica italiana. 
 
    Roma, 11 dicembre 2014 
 
                         Il Presidente: Soro 
 
 
                        Il relatore: Califano 
 
 
                    Il segretario generale: Busia 
 

Nessun commento: