Il Garante per la protezione dei dati personali e le prescrizioni contenute nelle autorizzazioni generali
Il Garante della privacy ha individuato le prescrizioni contenute nelle autorizzazioni generali al trattamento dei dati adottate nel 2016 ancora compatibili con il nuovo Regolamento europeo in materia (GDPR) e con la recente riforma del Codice della privacy. Tali obblighi dovranno essere rispettati da un numero elevato di soggetti – pubblici e privati – in molteplici settori, come quello sanitario, del lavoro, della ricerca scientifica e dell’associazionismo.
L’Autorità ha proceduto alla revisione delle 9 autorizzazioni generali al trattamento dei dati precedentemente esistenti secondo i criteri stabiliti dal recente decreto n. 101/2018.
In base all’analisi effettuata, 4 autorizzazioni hanno cessato completamente i loro effetti, in particolare: Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti; Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari; Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici.
Sono state invece individuate 5 autorizzazioni che contengono specifiche prescrizioni compatibili con il nuovo assetto normativo: Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro; Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni; Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati; Autorizzazione generale n. 8/2016 al trattamento dei dati genetici; Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica.
Nel provvedimento adottato dal Garante privacy sono quindi indicate tutte le prescrizioni, aggiornate alla luce delle nuova disposizioni in materia di privacy, che dovranno continuare ad essere rispettate da ogni soggetto che tratta dati personali per le finalità indicate. In considerazione dell’impatto che tali misure possono avere su PA e imprese, nel rispetto delle disposizioni previste dal decreto di revisione del Codice privacy, il testo sarà sottoposto a consultazione pubblica prima della sua approvazione definitiva.
Consultazione per acquisire osservazioni e proposte… La consultazione è finalizzata ad acquisire osservazioni e proposte rispetto alle prescrizioni individuate con il sopra citato provvedimento, con specifico riguardo ai risvolti applicativi dei principi ivi enunciati nonché agli eventuali profili di criticità riscontrabili o anche già sperimentati nel settore di riferimento, a cura di tutti i soggetti interessati, anche eventualmente attraverso le associazioni di categoria e le organizzazioni rappresentative dei settori di riferimento quali ad esempio quelle del mondo del lavoro e della ricerca scientifica, nonché delle chiese e comunità religiose.
Il Garante specifica che i contributi, così individuati, dovranno pervenire, entro 60 giorni dalla pubblicazione del relativo avviso sulla Gazzetta Ufficiale, all’indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all’indirizzo di posta elettronica consultazione.prescrizioni@gpdp.it, indicando nell´oggetto il tema di riferimento. Il provvedimento finale in materia del Garante è adottato entro 60 giorni dal relativo esito della consultazione pubblica promossa ai sensi dell’art. 21, comma 1, del d.lgs. n. 101/2018.
…che non precostituisce alcun vincolo. Il Garante evidenzia come i contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni dell’Autorità.
Il Garante sottolinea come, ai sensi dell’art. 21, comma 5, d.lgs. n. 101/2018 la violazione delle prescrizioni contenute nelle autorizzazioni generali e nel relativo provvedimento generale sono soggette alla sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento privacy europeo.
Occorre inoltre tenere presente che ai sensi dell´art. 2-decies, Codice privacy, i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall’art. 160-bis dello stesso Codice.
Il Garante rappresenta, inoltre, che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali.
Il Garante ha riportato nell’allegato 1 del provvedimento le seguenti prescrizioni:
1. Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro (aut. gen. n. 1/2016);
2. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016);
3. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati (aut. gen. n. 6/2016);
4. Prescrizioni relative al trattamento dei dati genetici (aut. gen. n. 8/2016);
5. Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).
In riferimento alle prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro, (aut. gen. n. 1/2016);il Garante specifica, a riguardo, che le stesse si applicano anche al settore pubblico; il provvedimento in esame che ha un impatto molto ampio che riguarda tutto il mondo del lavoro si compone dei seguenti punti: ambito di applicazione, interessati a cui si riferiscono i dati; finalità del trattamento; prescrizioni specifiche relative alle categorie di dati (trattamenti effettuati nella fase preliminare alle assunzioni, nel corso del rapporto di lavoro); prescrizioni specifiche relative alle modalità di trattamento.
Le prescrizioni riguardano molteplici operatori in particolare:
a) le agenzie per il lavoro e altri soggetti che, in conformità alla legge, svolgono, nell’interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale;
b) persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale;
c) organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa dell´Unione europea, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali;
d) rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;
e) soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell´interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro;
f) associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi in materia di assistenza sindacale ai datori di lavoro;
g) medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate.
Sono ricompresi nei destinatari non solo i lavoratori e collaboratori, consulenti e liberi professionisti, agenti, rappresentanti e mandatari; ma anche i terzi danneggiati nell’esercizio dell’attività lavorativa o professionale; terzi (familiari o conviventi dei soggetti per il rilascio di agevolazioni e permessi.
Il provvedimento approfondisce il profilo dei curricula e specifica che: il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall’art. 113 del Codice, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti.
Il provvedimento approfondisce il profilo delle finalità del trattamento che ricomprendono anche le finalità più ampie rispetto alla precedente autorizzazione, quali: far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell’Unione europea, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose; per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale; per garantire le pari opportunità nel lavoro; per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni.
Sotto il profilo delle modalità di trattamento, il provvedimento in esame prevede che i dati devono essere raccolti, di regola, presso l’interessato; in tutte le comunicazioni all’interessato che contengono categorie particolari di dati devono essere utilizzate forme di comunicazione anche elettroniche individualizzate nei confronti di quest’ultimo o di un suo delegato, anche per il tramite di personale autorizzato. Nel caso in cui si proceda alla trasmissione del documento cartaceo, questo dovrà essere trasmesso, di regola, in plico chiuso, salva la necessità di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell’atto.
Il Garante specifica che i documenti che contengono dati categorie particolari di dati, ove debbano essere trasmesse ad altri uffici o funzioni in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all’interno del testo.
Il Garante sottolinea che quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari).
Il provvedimento in esame costituisce un valido aiuto per accompagnare le imprese e le pubbliche amministrazioni nei trattamenti di dati in ambito lavorativo. La promozione di una consultazione online pubblica consentirà di raccogliere i contributi, osservazioni e di migliorare ulteriormente il testo. L’attuale provvedimento non approfondisce i trattamenti connessi al welfare aziendale, allo smart working, al trattamento dei dati di minori (in via esemplificativa connessi agli assegni famigliari) e rispetto alla precedente autorizzazione non prevede, la costante verifica anche mediante verifiche periodiche, della stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimenti ai dati che l’interessato fornisce di propria iniziativa, né approfondisce, a differenza del precedente testo i profili della comunicazione e diffusione dei dati.