1. Premessa

1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati il Garante ravvisa l'esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto, altresì, di precedenti decisioni dell'Autorità.

Le indicazioni fornite non pregiudicano l'applicazione delle disposizioni di legge o di regolamento che stabiliscono divieti o limiti più restrittivi in relazione a taluni settori o a specifici casi di trattamento di dati (articoli 113, 114 e 184, comma 3, del Codice)¹.

1.2. Ambiti considerati. Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei dati, all'informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il diritto d'accesso.

Le operazioni di trattamento riguardano per lo più:

- dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l'adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;

- informazioni più strettamente connesse allo svolgimento dell'attività lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti "ad personam"; l'ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l'assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.

I medesimi dati sono:

- contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, questa Autorità si è gi à pronunciata ² o nel corso del rapporto di lavoro;

- contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali ³;

- resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.

2. Il rispetto dei principi di protezione dei dati personali

2.1. Liceità, pertinenza, trasparenza. Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.

In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.

In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive che il trattamento di dati personali avvenga:

- nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (articoli 3 e 11);

- informando preventivamente e adeguatamente gli interessati (art. 13);

- chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (articoli 23, 24, 26 e 43 del Codice);

- rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (articoli 26 e 27 del Codice; cfr., in particolare, l'autorizzazione generale n. 1/2005);

- adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere anche civilmente e penalmente (articoli 15, 31 e ss., 167 e 169 del Codice).

2.2. Finalità. Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza).

Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali).

Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lettera b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.

3. Titolare e responsabile del trattamento

3.1. Titolare e responsabile. Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento (articoli 4, comma 1, lettera f) e g), 28 e 29 del Codice).

In linea di principio, per individuare il titolare del trattamento rileva l'effettivo centro di imputazione del rapporto di lavoro, al di l à dello schema societario formalmente adottato ⁴.

Peraltro, specie nelle realtà imprenditoriali più articolate, questa identificazione può risultare non sempre agevole e tale circostanza costituisce in qualche caso un ostacolo anche per l'esercizio dei diritti di cui all'art. 7 ⁵.

3.2. Gruppi di imprese. Le società che appartengono a gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.;, decreto legislativo 2 aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori (articoli 4, comma 1, lettera f) e 28 del Codice).

Tuttavia, nell'ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge ⁶: tale attività implica la designazione della società capogruppo quale responsabile del trattamento ai sensi dell'art. 29 del Codice ⁷.

Analoga soluzione (art. 31, comma 2, decreto legislativo n. 276/2003) deve essere adottata per i trattamenti di dati personali, aventi identica natura, effettuati nell'ambito dei consorzi di società cooperative (nei quali a tal fine può essere altresì designata una delle società consorziate).

3.3. Medico competente. Considerazioni ulteriori devono essere svolte in relazione a taluni specifici trattamenti che possono o devono essere effettuati all'interno dell'impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro ⁸.

Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nell'ambito del più generale quadro di misure necessarie a tutelare l'integrità psico-fisica dei lavoratori (art. 2087 cod. civ.), pone direttamente in capo al medico competente in materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli articoli 16 e 17 del decreto legislativo n. 626/1994, il correlativo trattamento dei dati contenuti in cartelle cliniche).

In quest'ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 del decreto del Presidente della Repubblica n. 303/1956; art. 16, decreto legislativo n. 626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli articoli 17, 59-quinquiesdecies, comma 2, lettera b), 59-sexiesdecies e 70 decreto legislativo n. 626/1994).

Detta cartella è custodita presso l'azienda o l'unità produttiva, "con salvaguardia del segreto professionale, e [consegnata in] copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (art. 4, comma 8, decreto legislativo n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, decreto legislativo n. 626/1994), in originale e in busta chiusa ⁹.

In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico ¹⁰.

Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, "con salvaguardia del segreto professionale" ¹¹.

Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l'idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni.

In tal senso, peraltro, depongono anche le previsioni legislative che dispongono la comunicazione all'Ispesl della cartella sanitaria e di rischio in caso di cessione (art. 59-sexiesdecies, comma 4, decreto legislativo n. 626/1994) o cessazione del rapporto di lavoro (art. 72-undecies, decreto legislativo n. 626/1994), precludendosi anche in tali occasioni ogni loro conoscibilità da parte del datore di lavoro.

4. Dati biometrici e accesso ad "aree riservate"

4.1. Nozione. In più circostanze, anche ricorrendo al procedimento previsto dall'art. 17 del Codice, è stato prospettato al Garante l'utilizzo di dati biometrici sul luogo di lavoro ¹², con particolare riferimento all'impiego di tali informazioni per accedere ad aree specifiche dell'impresa.

Si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte automatizzato) e poi risultanti in un modello di riferimento. Quest'ultimo consiste in un insieme di valori numerici ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all'identificazione personale attraverso opportune operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto.

L'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare natura, richiedono l'adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a condotte illecite che determinino l'abusiva "ricostruzione" dell'impronta, partendo dal modello di riferimento, e la sua ulteriore "utilizzazione" a loro insaputa.

L'utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi ¹³ o sottoposti a segreti di varia natura ¹⁴ o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore ¹⁵.

4.2. Sistemi di rilevazione biometrica. Inoltre, nei casi in cui l'uso dei dati biometrici è consentito, la centralizzazione in una banca dati delle informazioni personali (nella forma del predetto modello) trattate nell'ambito del descritto procedimento di riconoscimento biometrico risulta di regola sproporzionata e non necessaria. I sistemi informativi devono essere infatti configurati in modo da ridurre al minimo l'utilizzazione di dati personali e da escluderne il trattamento, quando le finalità perseguite possono essere realizzate con modalità tali da permettere di identificare l'interessato solo in caso di necessità (articoli 3 e 11 del Codice).

In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici, deve ritenersi adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello cifrato, su un supporto posto nell'esclusiva disponibilità dell'interessato (una smart card o un dispositivo analogo) e privo di indicazioni nominative riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale).

Tale modalità di riconoscimento, infatti, è idonea ad assicurare che possano accedere all'area riservata solo coloro che, autorizzati preventivamente, decidano su base volontaria di avvalersi della predetta carta o del dispositivo analogo. Il confronto delle impronte digitali con il modello memorizzato sulla carta o sul dispositivo può essere realizzato ricorrendo a comuni procedure di confronto sulla carta o dispositivo stesso, evitando così la costituzione di un archivio di delicati dati biometrici. Del resto, in caso di smarrimento della carta o dispositivo, sono allo stato circoscritte le possibilità di abuso rispetto ai dati biometrici ivi memorizzati.

4.3. Misure di sicurezza e tempi di conservazione. I dati personali necessari per realizzare il modello possono essere trattati esclusivamente durante la fase di registrazione; per il loro utilizzo, il titolare del trattamento deve raccogliere il preventivo consenso informato degli interessati.

In aggiunta alle misure di sicurezza minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a protezione dei dati, impartendo agli incaricati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle carte o dispositivi loro affidati.

I dati memorizzati devono essere accessibili al personale preposto al rispetto delle misure di sicurezza all'interno dell'impresa, per l'esclusiva finalità della verifica della loro osservanza (rispettando peraltro la disciplina sul controllo a distanza dei lavoratori: art. 4, comma 2, legge 20 maggio 1970, n. 300, richiamato dall'art. 114 del Codice).

I dati raccolti non possono essere di regola conservati per un arco di tempo superiore a sette giorni e vanno assicurati, anche quando tale arco temporale possa essere lecitamente protratto, idonei meccanismi di cancellazione automatica dei dati.

4.4. Verifica preliminare. Resta salva, per fattispecie particolari o in ragione di situazioni eccezionali non considerate in questa sede, la presentazione da parte di titolari del trattamento che intendano discostarsi dalle presenti prescrizioni, di apposito interpello al Garante, ai sensi dell'art. 17 del Codice.

5. Comunicazione e diffusione di dati personali

5.1. Comunicazione. La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l'interessato vi acconsente.

Se il datore di lavoro non può avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso (art. 24 del Codice), non può prescindersi dal consenso stesso per comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali:

- associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione);

- conoscenti, familiari e parenti.

Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), rimane impregiudicata la facoltà del datore di lavoro di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni, incaricati o responsabili del trattamento, che possono acquisire conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi (articoli 4, comma 1, lettere g) e h), 29 e 30). Ciò, ove necessario, anche mediante consegna di copia di documenti all'uopo predisposti.

È altresì impregiudicata la facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello aziendale o all'interno di singole unità produttive, agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli professionali, anche nell'ambito di singole funzioni o unità organizzative).

5.2. Intranet aziendale. Allo stesso modo, il consenso del lavoratore è necessario per pubblicare informazioni personali allo stesso riferite (quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in Internet), non risultando tale ampia circolazione di dati personali di regola "necessaria per eseguire obblighi derivanti dal contratto di lavoro" (art. 24, comma 1, lettera b), del Codice). Tali obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a volte risultare pertinente (specie in realtà produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del singolo dipendente, salva specifica disposizione di legge.

5.3. Diffusione. In assenza di specifiche disposizioni normative che impongano al datore di lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24, comma 1, lettera a) o la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24 del Codice, la diffusione stessa può avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lettera b) del Codice). È il caso, ad esempio, dell'affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni riguardanti l'organizzazione del lavoro e o feriali, oltre che di disposizioni riguardanti l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti ¹⁶.

Salvo che ricorra una di queste ipotesi, non è invece di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se non correlate all'esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come nelle ipotesi di:

- affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali ¹⁷;

- sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie;

- assenze dal lavoro per malattia;

- iscrizione e/o adesione dei singoli lavoratori ad associazioni.

5.4. Cartellini identificativi. Analogamente, si possono determinare altre forme di diffusione di dati personali quando dette informazioni debbano essere riportate ed esibite su cartellini identificativi appuntati ad esempio sull'abito o sulla divisa del lavoratore (di solito, con lo scopo di migliorare il rapporto fra operatori ed utenti o clienti).

Al riguardo, questa Autorità ha già rilevato ¹⁸, in relazione allo svolgimento del rapporto di lavoro alle dipendenze di soggetti privati, che l'obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto con il pubblico, si è ravvisata la sproporzione dell'indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici), ben potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sè sole in grado di essere d'ausilio all'utenza.

5.5. Modalità di comunicazione. Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni (cfr. art. 174, comma 12, del Codice) ¹⁹, il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando le misure più opportune per prevenire un'indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi dal destinatario, ancorchè incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato; invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche individuali).

Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano desumersi vicende personali ²⁰.

6. Dati idonei a rivelare lo stato di salute di lavoratori

6.1. Dati sanitari. Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lettera d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l'informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi ²¹.

Per tali informazioni, l'ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per contenere, nei limiti dell'indispensabile, i dati dei quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto (cfr. già l'art. 8 della legge n. 300/1970).

In questo contesto, la disciplina generale contenuta nel Codice deve essere coordinata ed integrata, come si è visto (cfr. punto 3.3.), con altre regole settoriali ²² o speciali ²³.

Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5, del Codice).

6.2. Assenze per ragioni di salute. Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermità (e talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che determini un'incapacità lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione del contratto). Non diversamente, il datore di lavoro può trattare dati relativi a invalidità o all'appartenenza a categorie protette, nei modi e per le finalità prescritte dalla vigente normativa in materia.

A tale riguardo, infatti, sussiste un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di legge ²⁴, di verificare le reali condizioni di salute del lavoratore.

Per attuare tali obblighi viene utilizzata un'apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro con la sola indicazione dell'inizio e della durata presunta dell'infermità: c.d. "prognosi" e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, all'Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d'intesa con la regione, se il lavoratore ha diritto a ricevere l'indennità di malattia a carico dell'ente previdenziale ²⁵.

Tuttavia, qualora dovessero essere presentati dai lavoratori certificati medici redatti su modulistica diversa da quella sopra descritta, nella quale i dati di prognosi e di diagnosi non siano separati, i datori di lavoro restano obbligati, ove possibile, ad adottare idonee misure e accorgimenti volti a prevenirne la ricezione o, in ogni caso, ad oscurarli ²⁶.

6.3. Denuncia all'Inail. Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro può anche venire a conoscenza delle condizioni di salute del lavoratore. Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (articoli 13 e 53 decreto del Presidente della Repubblica n. 1124/1965).

In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l'obbligo di limitarsi a comunicare all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non pertinente con la conseguente loro inutilizzabilità, trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2 del Codice) ²⁷.

6.4. Altre informazioni relative alla salute. A tali fattispecie devono essere aggiunti altri casi nei quali può, parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap ²⁸.

Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, decreto del Presidente della Repubblica n. 309/1990).

6.5. Comunicazioni all'Inps. È altresì legittima la comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennità in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni indispensabili.

In particolare, il datore di lavoro può comunicare all'Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, legge 20 maggio 1970, n. 300) ²⁹; a tal fine deve tenere a disposizione e produrre, a richiesta, all'Inps, la documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermità del lavoratore, ai sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura sanitaria pubblica da esso indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.).

7. Informativa

Il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa individualizzata completa degli elementi indicati dall'art. 13 del Codice ³⁰.

Con particolare riferimento a realtà produttive nelle quali, per ragioni organizzative (ad esempio, per l'articolata dislocazione sul territorio o per il ricorso consistente a forme di out-sourcing) o dimensionali, può risultare difficoltoso per il singolo lavoratore esercitare i propri diritti ai sensi dell'art. 7 del Codice, è opportuna la designazione di un responsabile del trattamento appositamente deputato alla trattazione di tali profili (o di responsabili esterni alla società, che effettuino, ad esempio, l'attività di gestione degli archivi amministrativi dei dipendenti), indicandolo chiaramente nell'informativa fornita.

8. Misure di sicurezza

8.1. Dati sanitari. Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione all'eventuale natura sensibile dei medesimi (art. 31 e ss. e Allegato B) al Codice).

Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell'interessato; ciò, deve trovare attuazione anche con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative ³¹).

Del pari, nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella descritta al punto 6.2., il datore di lavoro non può, comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve adottare gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo oscuramento di tali informazioni); ciò, al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti non previamente designati come incaricati o responsabili (art. 31 e ss. del Codice).

8.2. Incaricati. Resta fermo l'obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento, che "deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito" ³².

8.3. Misure fisiche ed organizzative. Il datore di lavoro deve adottare, tra l'altro (cfr. articoli 31 ss. del Codice), misure organizzative e fisiche idonee a garantire che:

- i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni;

- le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati;

- siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali;

- sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati ^33;

- sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in spazi aperti, anzichè all'interno di locali chiusi).

9. Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro

9.1. Diritto di accesso. I lavoratori interessati possono esercitare nei confronti del datore di lavoro i diritti previsti dall'art. 7 del Codice (nei modi di cui agli articoli 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano (anzichè, in quanto tale, all'intera documentazione che li contiene ³⁴), di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi.

La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a tutti i dati personali che riguardano il lavoratore comunque trattati dall'amministrazione (art. 10) e può riguardare anche informazioni di tipo valutativo ³⁵, alle condizioni e nei limiti di cui all'art. 8, comma 5.

Tra essi non rientrano notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a persone identificate o identificabili ³⁶.

9.2. Riscontro del datore di lavoro. Il datore di lavoro destinatario della richiesta è tenuto a fornire un riscontro completo alla richiesta del lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso³⁷.

9.3. Tempestività del riscontro. Il riscontro deve essere fornito nel termine di 15 giorni dal ricevimento dell'istanza dell'interessato (ritualmente presentata ³⁸); il termine più lungo, pari a trenta giorni, può essere osservato, dandone comunicazione all'interessato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art. 146 del Codice).

Pertanto il datore di lavoro, specie nelle realtà produttive di grande dimensione ³⁹, deve pertanto predisporre procedure organizzative adeguate per dare piena attuazione alle disposizioni del Codice in materia di accesso ai dati e all'esercizio degli altri diritti, anche attraverso l'impiego di appositi programmi finalizzati ad una accurata selezione dei dati relativi a singoli lavoratori, nonchè alla semplificazione delle modalità e alla compressione dei tempi per il riscontro.

9.4. Modalità del riscontro. Il riscontro può essere fornito anche oralmente; tuttavia, in presenza di una specifica istanza, il datore di lavoro è tenuto a trasporre i dati su supporto cartaceo o informatico o a trasmetterli all'interessato per via telematica (art. 10).

Muovendo dalla previsione dell'art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre accorgimenti idonei "a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente", può risultare legittima la richiesta dell'interessato di ricevere la comunicazione dei dati in questione presso la propria sede lavorativa o la propria abitazione ⁴⁰.

9.5. Dati personali e documentazione. Come più volte dichiarato dal Garante ⁴¹, l'esercizio del diritto di accesso consente di ottenere, ai sensi dell'art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal titolare del trattamento e da estrarre da atti e documenti; non permette invece di richiedere a quest'ultimo il diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi, o la loro innovativa aggregazione secondo specifiche modalità prospettate dall'interessato o, ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del Codice).

Specie nei casi in cui è elevata la mole di informazioni personali detenute dal titolare del trattamento, il diritto di accesso ai dati può essere soddisfatto mettendo a disposizione dell'interessato il fascicolo personale ^42, dal quale successivamente possono essere estratte le informazioni personali.

La scelta circa l'eventuale esibizione o consegna in copia di atti e documenti contenenti i dati personali richiesti può essere effettuata dal titolare del trattamento nel solo caso in cui l'estrapolazione dei dati personali da tali documenti risulti particolarmente difficoltosa per il titolare medesimo ⁴³; devono essere poi omessi eventuali dati personali riferiti a terzi (art. 10, comma 4, del Codice) ⁴⁴. L'adozione di tale modalità di riscontro non comporta l'obbligo in capo al titolare di fornire copia di tutti i documenti che contengano i medesimi dati personali dell'interessato, quando gli stessi dati siano conservati in più atti, lettere o note.

Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli articoli 7 e 8 del Codice, il titolare del trattamento deve, poi, comunicare i dati richiesti ed effettivamente detenuti, e non è tenuto a ricercare o raccogliere altri dati che non siano nella propria disponibilità e non siano oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o perchè originariamente trattati e non più disponibili, ovvero perchè, come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un determinato datore di lavoro, non siano mai stati nell'effettiva e libera disponibilità di quest'ultimo (si pensi al caso di dati contenuti nella corrispondenza intercorsa tra dipendenti ⁴⁵) - al di là dei profili di tutela della segretezza della corrispondenza che pur vengono in rilievo - non competerebbero le decisioni in ordine alle loro finalità e modalità di trattamento (cfr. art. 4, comma 1, lettera f), del Codice).

9.6. Aggiornamento. Infine, il lavoratore può ottenere l'aggiornamento dei dati personali a sè riferiti ⁴⁶.

In ordine, poi, all'eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima può avvenire solo in presenza della prova dell'effettiva e legittima attribuibilità delle qualifiche rivendicate dall'interessato, ad esempio in base a "decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali relativi all'interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell'applicazione della [disciplina di protezione dei dati personali], la richiesta dell'interessato" (che può comunque far valere in altra sede, sulla base di idoneo materiale probatorio, la propria pretesa al riconoscimento della qualifica o mansione rivendicata) ⁴⁷.

1. Le indicazioni rese tengono altresì conto, per i profili esaminati, della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo dei Garanti europei e del Code of practice, "Protection of workers' personal data", pubblicato dall'Organizzazione internazionale del lavoro (ILO).
2. Cfr. Provv. 10 gennaio 2002.
3. Cfr. Provv. 23 aprile 2002.
4. Cfr., in merito, i principi affermati in giurisprudenza: Cass. 24 marzo 2003, n. 4274; v. altresì Cass. 1° aprile 1999, n. 3136.
5. In merito v. di seguito il punto 9.
6. Cfr. art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg. 10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30.
7. Come gi à accade per i soggetti indicati al menzionato art. 1 della legge n. 12/1979.
8. In particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni e integrazioni.
9. Cfr. circolare Ispesl 3 marzo 2003, n. 2260.
10. In tal senso, v. l'autorizzazione generale n. 1/2005, in rapporto al diverso titolo in base al quale il medico opera quale libero professionista, o quale dipendente del datore di lavoro o di aziende sanitarie locali.
11 La cui violazione è peraltro penalmente sanzionata ai sensi dell'art. 92, lett. a), d.lg. n. 626/1994.
12 Cfr. Provv. 21 luglio 2005.
13 Cfr. Provv. 15 giugno 2006, docc. 1, 2 e 3.
14 Cfr. Provv. 23 novembre 2005.
15 Cfr. Provv. 15 giugno 2006; v., inoltre, Provv. 26 luglio 2006.
16 Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11 febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752.
17 Cfr., in relazione alla diffusione di informazioni in grado di rivelare situazioni di handicap, Provv. 27 febbraio 2002.
18 Cfr. Provv. 11 dicembre 2000, potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sè sole in grado di essere d'ausilio all'utenza.
19 Cfr. Provv. 12 maggio 2005.
20 Cfr., con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su documenti aventi la medesima funzione, Provv. 31 dicembre 1998, in Boll. n. 6, p. 100; v. anche Provv. 19 febbraio 2002.
21 Cfr. Provv. 7 luglio 2004. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunità europee, 6 novembre 2003, C-101/01, Lindqvist.
22 Tra le quali, ad esempio, la richiamata regolamentazione contenuta nel decreto legislativo n. 626/1994 o nell'art. 5 della legge n. 300/1970 sugli accertamenti sanitari facoltativi.
23 Si pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della legge 5 giugno 1990, n. 135, in materia Aids; art. 124 D.P.R. 9 ottobre 1990, n. 309.
24 Cfr. Provv. 15 aprile 2004.
25 Cfr. art. 2, d.l. 30 dicembre 1979, n. 663, conv. in legge, con mod., con l'art. 1, legge 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art. 1, legge 30 dicembre 2004, n. 311.
26 Cfr. di seguito al punto 8.
27 In tal senso v. il Provv. 15 aprile 2004.
28 Cfr. art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le pertinenti disposizioni contenute nel d.lg. 26 marzo 2001, n. 151.
29 V. Provv. 28 settembre 2001, cit.
30 V. anche il Parere 8/2001, cit., secondo il quale "i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro".
31 Cfr. Provv. 30 ottobre 2001, Parere 8/2001, cit.
33 Cfr. Provv. 27 luglio 2004.
34 Cfr. Provv. 16 giugno 2005.
35 V. già Provv. 7 marzo 2001; cfr. Provv. 15 novembre 2004. Raccomandazione n. 1/2001 concernente i dati relativi alla valutazione del personale del Gruppo art. 29, Wp 42.
36 In tal senso, con riguardo ad esempio alle mansioni proprie di un determinato profilo professionale cfr. Provv. 29 ottobre 2003.
37 In tal senso cfr., in relazione ad informazioni personali conservate con tecniche di cifratura, Provv. 21 novembre 2001.
38 Cfr. Provv. 17 febbraio 2005, con il quale si è dichiarato inammissibile un ricorso presentato a seguito di istanza avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali priva di sottoscrizione.
39 Cfr. ad esempio Provv. 2 luglio 2003; Provv. 24 giugno 2003.
40 Cfr. Provv. 17 marzo 2005.
41 Cfr. da ultimo Provv. 7 luglio 2005;
42 Provv. 16 giugno 2005.
43 Provv. 16 ottobre 2002. Cfr. Provv. 25 novembre 2002.
44 Cfr. Provv. 20 aprile 2005; già Provv. 27 dicembre 2001, in Boll., 2001, n. 23, p. 72.
45 Cfr. Provv. 21 dicembre 2005.
46 Cfr., in relazione all'aggiornamento del dato relativo al titolo di studio, Provv. 6 settembre 2002.
47 Cfr., in relazione all'aggiornamento delle informazioni relative al titolo di studio, Provv. 9 gennaio 2003.