CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Parere 8/2001
Sul trattamento dei dati personali in ambito lavorativo1 - wp48

Adottato il 13 settembre 2001

(Traduzione non ufficiale)

SOMMARIO

Il trattamento dei dati personali in ambito lavorativo è oggetto di dibattito sia a livello comunitario che nazionale. I Governi e le Autorità garanti della protezione dei dati degli Stati membri hanno elaborato o stanno elaborando normative, codici, o raccomandazioni per regolare vari aspetti della protezione dei dati nel contesto lavorativo. Nel quadro dell'Agenda per la Politica Sociale, la Commissione Europea ha avviato una consultazione con le parti sociali sulla protezione dei dati personali nell'ambito lavorativo.

Al fine di contribuire all'applicazione uniforme delle norme nazionali di recepimento della Direttiva 95/64/CE2 sulla protezione dei dati personali, il Gruppo di lavoro ha istituito un sottogruppo per esaminare la questione3 e ha adottato un documento approfondito reperibile su Internet al seguente indirizzo4:
 http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm

Datori di lavoro e lavoratori devono sapere che molte delle attività abitualmente svolte nel contesto lavorativo comportano il trattamento dei dati personali dei lavoratori, talvolta, di natura assai delicata5. E' quasi sicuro che ogni rilevazione, uso o memorizzazione di informazioni sui lavoratori con mezzi elettronici rientri nel campo d'applicazione della legislazione di protezione dei dati. E questo vale anche per il controllo dell'accesso dei lavoratori alla posta elettronica o a Internet da parte del datore di lavoro. Il controllo della posta elettronica comporta necessariamente il trattamento di dati personali. Il trattamento di dati sotto forma di suono e di immagine nel contesto lavorativo rientra nel campo d'applicazione della legislazione di protezione dei dati ed anche la sorveglianza video dei lavoratori è disciplinata dalle disposizioni della Direttiva e dalle leggi nazionali che la recepiscono.

Se trattano dati personali dei lavoratori, i datori di lavoro dovrebbero sempre tenere presenti

I SEGUENTI PRINCIPI FONDAMENTALI DELLA PROTEZIONE DEI DATI:

  • FINALITA': I dati devono essere raccolti per uno scopo determinato, esplicito e legittimo e non possono essere trattati in modo che non compatibile con tale finalità.

  • TRASPARENZA: Come minimo, i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente che per il futuro. La trasparenza viene inoltre assicurata garantendo all'interessato il diritto d'accesso ai propri dati personali, nonché osservando l'obbligo in capo al responsabile del trattamento di notificarlo alle Autorità per la Protezione Dati, così come previsto dalle legislazioni nazionali.

  • LEGITTIMITA': Il trattamento dei dati personali dei lavoratori deve essere legittimo. L'articolo 7 della Direttiva elenca i criteri di legittimazione del trattamento.

  • PROPORZIONALITA': Il dati personali devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono raccolti e/o successivamente trattati.
    Ammesso che i lavoratori siano stati informati del trattamento, e che il trattamento sia legittimo e proporzionato, è comunque necessario che sia leale nei confronti del lavoratore stesso.

  • ESATTEZZA E CONSERVAZIONE DEI DATI: Gli archivi dei lavoratori devono essere esatti e, se occorre, aggiornati. Il datore di lavoro deve adottare tutte le misure necessarie per assicurare che i dati inesatti o incompleti, rispetto alle finalità per le quali sono stati raccolti o successivamente trattati, siano cancellati o rettificati.

  • SICUREZZA: Il datore di lavoro deve adottare le misure tecniche ed organizzative più appropriate al luogo di lavoro per garantire che i dati dei suoi dipendenti siano al sicuro. Una specifica protezione dovrebbe essere approntata al fine di evitare la diffusione e l'accesso non autorizzati.

  • CONSAPEVOLEZZA DEL PERSONALE: Il personale incaricato o responsabile del trattamento dei dati degli altri lavoratori deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito.

  • CONSENSO: Il Gruppo di lavoro "Articolo 29" ritiene che, se un datore di lavoro deve trattare dati personali come conseguenza necessaria e inevitabile del rapporto di lavoro, sarebbe inutile e fuorviante se cerca di legittimare il trattamento mediante il consenso.
    Il ricorso al consenso dovrebbe limitarsi ai quei casi in cui il lavoratore è effettivamente libero di scegliere e può successivamente ritirare il proprio consenso senza pregiudizio.

  • I LAVORATORI SONO "PERSONE INTERESSATE" che godono dei diritti a queste conferiti dalla Direttiva sulla protezione dei dati. Tra questi diritti il più importante è il diritto d'accesso conferito dall'art.12 della Direttiva 6.

  • INTERAZIONE TRA LE NORME DI DIRITTO DEL LAVORO E QUELLE SULLA PROTEZIONE DEI DATI PERSONALI: Il Gruppo di lavoro intende sottolineare come la normativa sulla protezione dei dati personali non operi separatamente dal diritto e dalle procedure correnti del lavoro e il diritto e le prassi del lavoro non operano separatamente dalla normativa sulla protezione dei dati.
    Tale interazione è necessaria e preziosa e deve favorire lo sviluppo di soluzioni per proteggere adeguatamente i diritti dei lavoratori.

  • SORVEGLIANZA E CONTROLLO: Le esigenze di protezione dei dati si applicano al controllo e alla sorveglianza dei lavoratori rispetto all'uso della posta elettronica, all'accesso a Internet, alle telecamere o ai dati per la localizzazione (Ndr: delle apparecchiature terminali degli utenti). Ogni controllo deve essere una risposta proporzionata del datore di lavoro ai rischi che corre nel tener conto della riservatezza e di altri interessi legittimi dei lavoratori. Tutti i dati personali detenuti o utilizzati durante i controlli devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità che giustificano il controllo. I controlli devono essere eseguiti nel modo meno intrusivo possibile.

  • TRASFERIMENTO DI DATI PERSONALI DEL LAVORATORE VERSO PAESI TERZI: L'articolo 25 della Direttiva stabilisce che il trasferimento di dati personali verso un paese esterno alla U.E. può aver luogo soltanto se il paese terzo garantisce un livello di protezione dei dati adeguato. Va tenuto presente che, indipendentemente dalla base giuridica del trasferimento ai sensi degli articoli 25 e 26, il trattamento connesso al trasferimento deve comunque conformarsi agli articoli da 6 a 8 e a tutte le altre disposizioni della Direttiva.
    Il Gruppo di lavoro ritiene preferibile contare su un'adeguata protezione del paese destinatario piuttosto che sulle deroghe di cui all'articolo 26, come ad esempio il consenso dei lavoratori. Quando ci si affida al consenso, questo deve essere inequìvocabile e dato liberamente. Sbagliano i datori di lavoro che si affidano esclusivamente al consenso, eccettuato il caso in cui un suo eventuale ritiro successivo non causi problemi.

  • ULTERIORI ORIENTAMENTI: Il Gruppo di lavoro sta esaminando ulteriori orientamenti per i casi in cui l'applicazione dei principi generali della tutela dei dati solleva specifici problemi inerenti al contesto lavorativo, quali la sorveglianza e il controllo sul luogo di lavoro, i dati di valutazione dei lavoratori ed altri.

IL GRUPPO DI LAVORO PER LA PROTEZIONE DELL'INDIVIDUO RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 Ottobre 1995 7, visti gli articoli 29 e 30 paragrafi 1 (a) e 3 della stessa Direttiva, nel rispetto del proprio regolamento interno e in particolare degli articoli 12 e 14 di quest'ultimo,

HA ADOTTATO IL PRESENTE PARERE:

1. Introduzione

Il trattamento dei dati personali in ambito lavorativo è oggetto di dibattito sia a livello comunitario che nazionale. I Governi e le Autorità per la Protezione Dati degli Stati membri dell'Unione hanno elaborato o stanno per elaborare leggi, codici, o raccomandazioni sulle molteplici questioni che concernono il trattamento dei dati personali nell'ambito lavorativo.

LAVORI IN CORSO ED INIZIATIVE RECENTI

BELGIO

Parere 10/2000 della Commission de la protection del vie privée "Parere relativo al controllo effettuato dal datore di lavoro sull'utilizzo del sistema informatico sul luogo di lavoro".8

FRANCIA

Consultazione pubblica del CNIL basata sul rapporto "La cybersorveglianza sui dipendenti d'impresa".9

GRECIA

Progetto di raccomandazione sulla protezione dei dati relativi ai lavoratori.10

GERMANIA

Su invito dell'Autorità di supervisione tedesca, il Parlamento ha a più riprese chiesto al Governo di presentare un progetto di legge relativo alla protezione dei dati personali nei rapporti di lavoro.

OLANDA

Rapporto del Registratiekamer "Working Well in Networks".11

SPAGNA

Studio pubblicato dalla Agencia de Protecciòn de Datos su "Utilizzo e controllo dei dati automatizzati ne luogo di lavoro".12

REGNO UNITO

Progetto di Code of Practice (codice deontologico) del Information Commissioner su "L'utilizzo dei dati personali nei rapporti tra datore di lavoro e dipendente".13

Le Autorità per la Protezione Dati hanno regolarmente affrontato una serie di questioni inerenti la protezione dei dati nel mondo del lavoro.

Tra queste, in particolare:

  • l'esattezza dei dati del lavoratore

  • il controllo dell'uso del telefono per fini personali

  • l'accesso alle informazioni sulla salute

  • l'utilizzo di informazioni inerenti l'adesione a sindacati

  • il trattamento in pendenza di fusioni o acquìsizioni societarie

Nella Unione Europea le normative a protezione dei dati personali conferiscono diritti individuali a tutte le persone interessate dal trattamento di dati personali (ad es.: diritto d'accesso, diritto alla rettifica). In via di principio, questi diritti sono integralmente esercitabili nell'ambito del rapporto datore di lavoro/dipendente e le sole eccezioni possibili sono quelle autorizzate dalla Direttiva 95/46/CE. Tuttavia, dato il carattere piuttosto generale della Direttiva, una linea di orientamento sarà utile per chiarire alcuni aspetti sull'applicazione delle summenzionate disposizioni riguardanti il contesto lavorativo.

La Commissione Europea, nel quadro dell'Agenda per le Politiche Sociali, ha avviato una consultazione con le parti sociali sulla protezione dei dati personali nell'ambito lavorativo.

Al fine di contribuire all'uniforme applicazione dei provvedimenti nazionali adottati in osservanza della Direttiva 95/64/CE sulla protezione dei dati personali, il Gruppo di lavoro ha istituito un sottogruppo per esaminare la questione14 e ha adottato il presente parere.

Il sottogruppo sta tuttora lavorando su un parere specifico che si focalizzerà sull'applicazione della Direttiva 95/46/CE in materia di sorveglianza e controllo delle comunicazioni elettroniche sul luogo di lavoro.

2. Trattamento dei dati personali sul luogo di lavoro

I datori di lavoro e i lavoratori, sia nel settore pubblico che nel privato, devono essere consci del fatto che molte delle attività abitualmente svolte nell'ambito lavorativo comportano un trattamento dei dati personali del lavoratore e, talvolta, il trattamento di informazioni a carattere sensibile.

In realtà, i datori di lavoro raccolgono per diversi motivi dati personali relativi ai loro dipendenti fin dall'inizio del rapporto di lavoro, o anche prima. Durante il procedimento di assunzione, il candidato ad un posto di lavoro deve fornire informazioni personali al suo potenziale datore di lavoro che, allo stesso tempo, tratta tali informazioni personali per valutare i meriti dei candidati.

La raccolta ed il successivo trattamento dei dati personali dei lavoratori prosegue durante l'intero rapporto di lavoro. Queste attività di trattamento riguardano, abitualmente, tutte le informazioni personali che il datore di lavoro ha richiesto e/o ottenuto dai propri dipendenti.

Ogni datore di lavoro raccoglie dati retributivi e fiscali relativi ai propri dipendenti. Il trattamento di questi dati personali è necessario allo svolgimento del rapporto di lavoro o per il rispetto di obblighi di legge (previdenza sociale, pagamento di imposte) a cui il datore di lavoro è assoggettato. In alcuni Stati membri, i datori di lavoro raccolgono e trattano dati inerenti la salute che essi archiviano in cartelle contenenti informazioni sulle malattie. In altri, l'informazione si limita al computo delle assenze causate da malattia.

Invero, i datori di lavoro valutano le prestazioni dei propri lavoratori raccogliendo le informazioni personali direttamente da questi o attraverso altri strumenti, inclusi sorveglianza e controllo elettronico.

Infine, sebbene la raccolta di dati personali relativi ad un lavoratore finisca normalmente al termine del rapporto di lavoro, il trattamento di tali dati può essere proseguito dall'ex datore di lavoro. I datori di lavoro sono soliti mantenere in archivio tali dati per un determinato periodo di tempo, spesso per mero rispetto degli obblighi di legge che ne impongono la conservazione per un tempo prestabilito.

Esempi di archivi professionali che generalmente comportano il trattamento di dati personali protetti dalla Direttiva 95/46/EC

Domande d'assunzione e referenze

Dati salariali e fiscali — informazioni relative a benefici fiscali e sociali

Cartelle mediche

Registri dei permessi annuali

Registri di ferie non pagate/permessi speciali

Schede di valutazione/giudizio annuali

Documenti relativi a promozioni, trasferimenti, formazione professionale o questioni disciplinari

Documenti relativi ad incidenti sul lavoro

Dati generati da sistema informatico

Registri presenze

Composizione del nucleo familiare 15

Rimborsi spese (ad es., di viaggio)

Come è stato sottolineato dalla Corte europea dei Diritti dell'Uomo nel caso Niemitz v. Germania:

"il rispetto della vita privata deve, in una certa misura, includere anche il diritto di instaurare e sviluppare relazioni con altri esseri umani. Per di più, non sembra esserci alcuna ragione di principio che indichi questo modo di intendere la nozione di vita privata come portato ad escludere le attività di natura lavorativa o commerciale: dopotutto, è durante la propria vita lavorativa che la maggioranza delle persone ha un'importante, se non la migliore, opportunità di sviluppare rapporti con l'ambiente esterno. Questo punto di vista è supportato, come giustamente sottolineato dalla Commissione, dal fatto che non è sempre possibile distinguere chiaramente quali attività dell'individuo facciano parte della sua vita lavorativa e quali no".16

3. Principali strumenti internazionali

3.1. Comunità Europea

  • Direttiva 95/46/CE sulla protezione degli individui con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati 17

  • Direttiva 97/66/EC relativa al trattamento dei dati personali e alla protezione della privacy nel settore delle telecomunicazioni 18

  • Articolo 286 del Trattato costitutivo la Comunità Europea

  • Regolamento (CE) N. 45/2001 del Parlamento Europeo e del Consiglio del 18 Dicembre 2000 sulla protezione degli individui con riguardo al trattamento dei dati personali da parte di istituzioni ed organismi Comunitari e sulla libera circolazione di tali dati 19

  • Carta dei Diritti Fondamentali dell'Unione Europea 20

3.2. Consiglio d'Europa

  • Convenzione Europea sulla salvaguardia dei Diritti dell'Uomo e delle Libertà Fondamentali (ECHR), Art.8

  • Convenzione del Consiglio d'Europa (108) sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale21

  • Raccomandazione del Consiglio d'Europa (89) 2 relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione22

  • Raccomandazione del Consiglio d'Europa (97) 5 relativa alla protezione dei dati sanitari23

  • Raccomandazione del Consiglio d'Europa (86) 1 relativa alla protezione dei dati a carattere personale utilizzati a fini di sicurezza sociale24

3.3. Organizzazione Internazionale del Lavoro (OIL)

  • Codice Deontologico dell'OIL relativo alla protezione dei dati personali dei lavoratori (1997)

4. Provvedimenti legislativi nazionali a tutela dei dati nel contesto lavorativo

a) Stati Membri della U.E.

Austria

  • Legislazione generale: Legge Federale relativa alla protezione dei dati personali25

  • Disposizione specifica relativa all'uso dei dati sensibili in ambito lavorativo 26

  • Procedure di informativa e consenso precedenti l'introduzione di strumenti di controllo sul posto di lavoro (Organismi di rappresentanza dei lavoratori) 27

  • Specifico divieto per i datori di lavoro di sottoporre a test genetici lavoratori dipendenti o candidati28

Belgio

  • Legislazione Generale: Legge dell'8 dicembre 1992 relativa alla protezione dei dati personali degli individui 29

  • Specifico regolamento concernente il trattamento di dati sanitari relativi a visite mediche dei lavoratori

  • Decreto regionale relativo all'utilizzo dei dati sensibili nelle agenzie di collocamento, reclutamento e selezione del personale.

  • Due accordi collettivi (n. 13 e 68) contenenti disposizioni sulle procedure di consultazione e di informazione con i dipendenti.

Danimarca

  • Legislazione generale: The Act on Processing of Personal Data (Act N. 429 del 31 Maggio 2000)30

  • Specifica normativa concernente l'uso di dati sanitari in relazione alle visite mediche dei lavoratori

  • Normativa specifica per i dipendenti pubblici

Finlandia

  • Legislazione generale: Personal Data Act (523/1999) 31

  • Normativa specifica sulla protezione della privacy nella vita lavorativa (Act adottato dal Parlamento finlandese nel maggio 2001, con entrata in vigore fissata per l'autunno 2001) 32

Francia

  • Legislazione generale: Legge N. 78-17 del 6 gennaio 1978 relativa alla protezione della privacy degli individui 33

  • Specifiche disposizioni per la protezione dei dati dei lavoratori nel Code du Travail 34

Germania

  • Legislazione generale: Federal Data Protection Act (BDSG) 35

  • Specifici regolamenti sulla protezione dei dati personali nel pubblico impiego (Framework Civil Service Act -BRRG-, 56 a 56 f e Federal Civil Service Act -BBG- 90 a 90 g, entrambi entrati in vigore nel 1997).

Implementazione di strumentazioni utilizzabili per il controllo del rendimento e del comportamento solo previo accordo con gli organismi di rappresentanza dei lavoratori, in ossequìo a quanto previsto dai regolamenti della normativa collettiva in tema di lavoro (settore pubblico e privato).

Grecia

  • Legislazione generale 2472/97 relativa alla protezione degli individui rispetto al trattamento dei dati personali 36

Irlanda

  • Legislazione generale: Data Protection Act del 1988 37

Italia

  • Legislazione generale: Tutela delle persone ed altri soggetti rispetto al trattamento dei dati personali Legge n. 675 del 31 dicembre 1996 38

  • Legge n. 135 del 11 Maggio 1999 sul trattamento dei dati sensibili da parte della Pubblica Amministrazione

  • Legge n. 300/1970 (Statuto dei Lavoratori)

  • Disposizioni specifiche a restrizione di sorveglianza e controllo sul posto di lavoro

  • Autorizzazione n.2/2000 del Garante per la protezione dei dati personali

Lussemburgo

  • Legge generale sull'uso dei dati nelle transazioni elettroniche (legge del 31 marzo 1979).

  • Nuovo progetto di legge presentato nell'ottobre 2000, prima lettura prevista per l'autunno 2001.

Paesi Bassi

  • Legislazione generale: Data Protection Act del 6 Luglio 200039 (entrata in vigore l'1 settembre 2001).

  • Disposizioni di diritto del lavoro sulle procedure di informazione e consenso con l'accordo degli organismi di rappresentanza dei lavoratori.40

  • Legge relativa ai registri malattia e retribuzione dei dipendenti (gennaio 2001)41

  • Legge relativa alla registrazione delle origini etniche dei dipendenti (aprile 1998).

  • Legge sulla identificazione (dicembre 1993) e Legge sul codice di identificazione personale (gennaio 2001)42

Portogallo

  • Legislazione generale: Legge 67/98 del 26 ottobre 1998 43

  • Legislazione di settore:

- Costituzione della Repubblica Portoghese 44

- Legge sulla protezione dei dati personali nel settore delle telecomunicazioni — Legge n° 69/98 del 28 ottobre 45

- Legge che stabilisce l'obbligo per il datore di lavoro di informare il dipendente sulle condizioni applicabili al contratto di lavoro — Decreto n° 5/94 del 11 gennaio 46

- Legge relativa al sistema di raccolta delle trattenute sindacali — Legge n° 81/2001 del 5 Agosto 47

- Modalità di organizzazione e funzionamento dei servizi per la sicurezza, l'igiene e la salute sul posto di lavoro — Decreto n° 26/94 del 1 Febbraio48

Spagna

  • Legislazione generale: Legge organica 15/99 del 13 dicembre sulla protezione dei dati personali 49

  • Regio Decreto 994/1999 sulle misure di sicurezza obbligatorie per i file informatici che contengono dati personali 50

  • Regio Decreto 1/1995 relativo al testo consolidato della Legge sullo Statuto dei Lavoratori 51

  • Legge organica 11/1985 sulla libertà sindacale 52

  • Legge sulla prevenzione dei rischi del lavoro 31/1995 53

Svezia

  • Legislazione generale: Legge sui dati a carattere personale del 24 Ottobre 1998 (1998: 204)54

  • Disposizioni specifiche riguardo la consultazione con le rappresentanze dei lavoratori prima di introdurre strumenti di videosorveglianza. Regolamento che stabilisce il divieto di videocontrollo sulle prestazioni del lavoratore senza che egli ne sia a conoscenza e che le rappresentanze sindacali siano sentite prima di introdurre meccanismi di controllo. 55

Regno Unito

  • Legislazione generale: Legge del1998, sulla protezione dei dati personali 56

b) Stati Membri dell'Area Economica Europea (EEA)

Norvegia

  • Legislazione generale: Legge sulla protezione dei dati personali 57

  • Disposizioni specifiche nel principale accordo collettivo che regola la questione del controllo sul posto di lavoro con procedure di informazione e consultazione con le rappresentanze sindacali.

Islanda

  • Legislazione generale: Legge sulla protezione degli individui rispetto al trattamento dei dati personali No. 77/2000 58

5. Scopo ed implementazione della Direttiva

Le disposizioni della Direttiva 95/46/CE si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi. Per "dati personali" si intende qualsiasi informazione concernente una persona fisica identificata o identificabile. Al "trattamento" è data una definizione molto ampia. Così ogni raccolta, utilizzo o archiviazione di informazioni relative ai lavoratori attraverso strumenti elettronici ricadrà quasi certamente nell'ambito della Direttiva.

Il controllo da parte dei datori di lavoro sulle e.mail o sugli accessi ad Internet dei lavoratori ricade nell'ambito della Direttiva. Il controllo delle e.mail comporta necessariamente un trattamento di dati personali. Il monitoraggio degli accessi ad Internet - salvo sia effettuato ad un livello superiore tale da garantire la non riconducibilità al lavoratore dell'accesso a siti particolari e dunque idoneo a produrre solo informazioni aggregate - necessariamente comporta il trattamento dei dati personali del lavoratore che procede all'accesso. Il trattamento di dati provenienti da suoni od immagini raccolti nel contesto lavorativo ricade nell'ambito della Direttiva e la videosorveglianza dei lavoratori è coperta delle sue disposizioni.

Non tutti i registri manuali rientrano nell'ambito della Direttiva, fatto salvo se fanno parte di un sistema di "archiviazione di dati personali", da intendersi come qualsiasi insieme organizzato di dati personali accessibile secondo un criterio specifico: centralizzato, decentrato o disperso secondo una logica funzionale o geografica. E' probabile che in materia di impiego la maggior parte degli archivi rientrino in questa definizione. Tuttavia, in alcuni paesi le norme di implementazione potrebbero escludere alcune annotazioni manoscritte ritenute estranee a qualsiasi forma di archiviazione, ma data la loro natura necessariamente strutturata, gli archivi del personale conterranno la maggior parte delle informazioni relative ai lavoratori, sia quelli gestiti all'interno di un sistema centralizzato, sia quelli gestiti da responsabili di settore.

Oltre alla Direttiva generale sulla Protezione dei dati personali (95/46/CE), potrebbe avere rilevanza la Direttiva sulla Protezione dei Dati nelle Telecomunicazioni (97/66/CE). Questa specifica ed integra la Direttiva 95/46/CE relativamente ai trattamenti di dati personali nel settore delle telecomunicazioni. Il controllo sulle comunicazioni elettroniche del lavoratore, incluse e.mail ed accessi Internet, come ricadono nell'ambito della Direttiva 95/46/CE, potrebbero anche rientrare nell'ambito della Direttiva 97/66/CE che è stata riesaminata (Ndr: e sostituita dalla Direttiva 2002/58/CE dal 31 ottobre 2003), nel contesto della revisione del pacchetto normativo comunitario in tema di telecomunicazioni.

Il Gruppo di Lavoro tiene a sottolineare come la legge sulla protezione dei dati personali non operi in modo isolato dalle norme di diritto del lavoro, e viceversa. Vi è, necessariamente, un'interazione tra le due aree normative.

La precisa natura di questa interazione varia tra gli Stati Membri ma, in via generale:

  • il crescente utilizzo di tecnologie dell'informazione e comunicazione nel mondo del lavoro dilata lo spazio di questa interazione poiché le attività lavorative poggiano sempre più sul trattamento di dati personali a cui si applicano i principi generali di protezione dei dati;

  • non tutti i problemi che sorgono nel contesto lavorativo e che comportano un trattamento di dati personali sono esclusivamente problemi di protezione dati;

  • l'interazione è necessaria e preziosa, e dovrebbe contribuire allo sviluppo di soluzioni che forniscano opportuna tutela agli interessi dei lavoratori.

6. Legittimità del trattamento di dati personali

Qualsiasi trattamento di dati personali, inclusi quelli in ambito lavorativo, deve presentare i requìsiti della Sezione II della Direttiva 95/46/CE per essere giuridicamente legittimo. In ogni caso è necessario operare su una base giuridica per procedere ai trattamenti di cui agli artt.6, 7 e 8 della Direttiva (quest'ultimo articolo nel caso di dati sensibili).

Il responsabile del trattamento deve, inoltre, attenersi ad altri requìsiti, tra i quali:

ULTERIORI REQUISITI IN AGGIUNTA A QUELLI DEGLI ARTT. 6,7 E 8

INFORMATIVA DA CONFERIRE AGLI INTERESSATI (ARTT. 10 E 11)

DIRITTO DELL'INTERESSATO DI ACCESSO AI DATI (ART. 12)

DIRITTO DELL'INTERESSATO DI OPPORSI AL TRATTAMENTO (ARTT. 14 E 15)

RISERVATEZZA E SICUREZZA DEL TRATTAMENTO (ARTT. 16 E 17)

NOTIFICAZIONE ALL'AUTORITA' DI SUPERVISIONE (ARTT. 18,19,20,21)

La Direttiva autorizza limitate eccezioni rispetto ad alcuni dei requìsiti di cui sopra, ma non per quanto riguarda gli artt.7 o 8 (artt.9 e 13)

7. Criteri per rendere legittimo il trattamento. Articolo 7.

Almeno uno dei criteri specificati dall'art.7 deve essere soddisfatto quando i dati personali devono essere trattati in un contesto lavorativo. Ciascuno di questi criteri richiede in ogni caso che il trattamento in corso sia "necessario" al raggiungimento dello scopo anziché semplicemente "utile" al raggiungimento dello stesso. I criteri più rilevanti sono:

IL TRATTAMENTO E' NECESSARIO PER L'ESECUZIONE DI UN CONTRATTO DI CUI L'INTERESSATO E' PARTE (ARTICOLO 7.1.B)

I rapporti di lavoro sono molto spesso basati su un contratto di lavoro tra il datore di lavoro e il lavoratore. Per adempiere agli obblighi scaturenti dal contratto, ad esempio per pagare il lavoratore, il datore di lavoro deve trattare alcuni dati personali.

IL TRATTAMENTO E' NECESSARIO PER ADEMPIERE AD UN OBBLIGO DI LEGGE (ARTICOLO 7.1.C)

Il diritto del lavoro può imporre al datore di lavoro alcuni obblighi di legge che necessariamente comportano un trattamento di dati personali. Il datore di lavoro potrebbe trovarsi davanti all'obbligo di legge di comunicare alcuni dati personali, ad esempio, al fisco, oppure, di trattare dati relativi ai contributi previdenziali.

IL TRATTAMENTO E' NECESSARIO ALLA REALIZZAZIONE DI UN INTERESSE LEGITTIMO PERSEGUITO DAL RESPONSABILE O DAL TERZO A CUI I DATI SONO COMUNICATI, A CONDIZIONE CHE SU DETTI INTERESSI NON PREVALGA UN INTERESSE CONNESSO AI DIRITTI O ALLE LIBERTA' FONDAMENTALI DELL'INTERESSATO…. (Articolo 7.1.F)

Questo criterio richiede un bilanciamento tra gli interessi del datore di lavoro e quelli del lavoratore. Alcune Autorità garanti hanno dato suggerimenti sul modo in cui raggiungere il giusto punto d'equìlibrio tra gli interessi contrapposti della persona interessata e del responsabile del trattamento. E' importante segnalare che se questo criterio è preso in considerazione il lavoratore ha diritto di opporsi, per motivi legittimi, al trattamento. (Articolo 14).

Altri criteri, meno suscettibili di essere presi in considerazione nel contesto lavorativo, sono:

  • IL TRATTAMENTO E' NECESSARIO ALLA PROTEZIONE DI UN INTERESSE VITALE DELL'INTERESSATO (Articolo 7.1.D)

Questo articolo potrebbe avere una certa rilevanza per quanto riguarda il campo della sicurezza

  • IL TRATTAMENTO E' NECESSARIO PER IL PERSEGUIMENTO DI UN INTERESSE PUBBLICO (Articolo 7.1.E)

Le circostanze in cui questo criterio potrebbe avere rilevanza nel contesto lavorativo sono estremamente limitate.

Se nessuno di questi criteri risulta applicabile al trattamento dei dati del lavoratore da parte del datore di lavoro, questi, in alternativa, potrà rivolgersi al dipendente per ottenere, fuori da ogni ambiguità, il consenso al trattamento. Il significato del termine "consenso" è discusso nella Sezione 11.

8. Il trattamento di dati sensibili. Articolo 8.

La Direttiva identifica alcune particolari categorie di dati idonei a rivelare le origini razziali od etniche, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché lo stato di salute e la vita sessuale. La Direttiva, inoltre, conferisce una speciale protezione ai dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza. Gli Stati Membri non hanno la facoltà di allungare o ridurre questa lista. Certamente è loro concesso di stabilire garanzie particolari per alcune tipologie di dati sensibili, come per i dati genetici.

L'articolo 8 parte dal presupposto che trattare alcune categorie di dati ("i dati sensibili") sia proibito. Ci sono poi numerose eccezioni che delineano le particolari circostanze in cui il divieto non opera. Il diritto interno di alcuni Stati Membri può limitare l'ampiezza dei casi in cui i datori di lavoro possano trarre vantaggio da dette eccezioni. Sicché gli Stati Membri possono fare un uso più o meno estensivo delle eccezioni. La Direttiva consente agli Stati Membri di aggiungere altre eccezioni per consistenti motivi di interesse pubblico.

Se nessuna di queste eccezioni risulta applicabile, il datore di lavoro può ottenere il consenso esplicito da parte del lavoratore, salvo che la legge dello suo Stato stabilisca che il divieto di trattare dati sensibili non possa essere annullato dal consenso dell'interessato, come accade in Belgio, a fronte di determinate circostanze. La possibilità di ricorso al consenso nei rapporti di lavoro è comunque limitata, così come descritto nella Sezione 11.

Esempio:

Anche se potrebbero ricadere nelle ipotesi di eccezione di cui all'articolo 8, le circostanze in cui la possibilità di trattamento di dati sensibili è limitata dalla legge nazionale, sono il trattamento delle condizioni di salute del lavoratore in Francia e il trattamento di dati genetici in Austria.

Un esempio di eccezione aggiunta da uno Stato Membro consiste nella possibilità di trattare dati sensibili relativi alle origini razziali od etniche per motivi di parità e uguaglianza sociale. Molti Stati Membri hanno formulato specifiche disposizioni in tal senso.

Ulteriori esempi. Se la legislazione nazionale lo permette e se presuppone che il principio di limitazione sia rispettato, i dati sensibili che con maggiore probabilità saranno raccolti dal datore di lavoro nel contesto lavorativo sono:

· Appartenenza sindacale

per esempio, per permettere al datore di lavoro di trattenere le quote sindacali dallo stipendio del lavoratore

· Stato di salute

per esempio, per pagare le indennità di malattia, per ottemperare ad adempimenti sanitari o di sicurezza, per fornire un programma di medicina del lavoro, per fornire indennità assicurative o pensionistiche

· Infrazioni di tipo penale

per esempio, in relazione ad un'inchiesta avente per oggetto una frode da parte di dipendenti, per verificare che lavoratori condannati per reati simili non ricoprano incarichi di fiducia.

Le eccezioni di cui all'art.8 sono ben più ristrette dei criteri di cui all'art.7.

Quelle che appaioni più pertinenti al contesto lavorativo sono le seguenti:

IL TRATTAMENTO E' NECESSARIO PER ASSOLVERE GLI OBBLIGHI E I DIRITTI SPECIFICI DEL RESPONSABILE IN MATERIA DI DIRITTO DEL LAVORO, NELLA MISURA IN CUI IL TRATTAMENTO SIA AUTORIZZATO DA NORME NAZIONALI CHE PREVEDANO ADEGUATE GARANZIE (ARTICOLO 8.2.B)

Senza dubbio, quanto detto riguarda il mondo del lavoro e può avere un campo d'applicazione piuttosto vasto. Molto dipende da quanto spazio è concesso, dal singolo Stato Membro, agli obblighi e ai diritti del datore di lavoro in materia di diritto del lavoro, oppure se si tratta solamente di costumi o pratiche in uso.

IL TRATTAMENTO E' NECESSARIO PER COSTITUTIRE, ESERCITARE O DIFENDERE UN DIRITTO PER VIA GIUDIZIARIA (ARTICOLO 8.2.E)

Questa disposizione ha una certa rilevanza nel contesto in questione e, in particolare, in relazione ai reclami del lavoratore contro il datore di lavoro nel caso di ingiusto licenziamento, per esempio, quando si verifica un trasferimento dei dati del lavoratore verso avvocati o magistrature. Il tutto è comunque limitato al solo caso di reclami attuali ed effettivi. Questo non giustifica affatto di trattamento dei dati sensibili di tutti i lavoratori per il solo motivo che un giorno essi o qualche terzo potrebbero avanzare una pretesa di carattere legale.

IL TRATTAMENTO E' NECESSARIO PER MOTIVI DI MEDICINA PREVENTIVA E IL TRATTAMENTO DEI DATI E' EFFETTUATO DA UN PROFESSIONISTA IN CAMPO SANITARIO TENUTO AL SEGRETO PROFESSIONALE, OPPURE A QUALCUN'ALTRO SOGGETTO CON IL MEDESIMO VINCOLO (ARTICOLO 8.3)

Questa eccezione avrà rilevanza nei programmi di medicina del lavoro.

Inoltre, l'articolo 20 della Direttiva dispone garanzie supplementari, statuendo che le operazioni di trattamento che, con maggiore probabilità, possono presentare rischi particolari per i diritti e le libertà dell'interessato debbano essere vagliate preventivamente delle Autorità per la Protezione Dati.

9. Principi relativi alla qualità dei dati. Articolo 6.

Il responsabile del trattamento deve rispettare i requìsiti della legge nazionale che recepisce l'art.6 della Direttiva, così come deve soddisfare i criteri dell'art.7, nonché un'eccezione dell'art.8 in presenza di dati sensibili.

L'art.6 prevede che i dati personali devono essere:

a) trattati lealmente ed ai sensi di legge;

b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità;

c) adeguati, pertinenti e non eccedenti;

d) esatti e, se necessario, aggiornati;

e) conservati in modo da consentire l'identificazione degli interessati per un periodo non più lungo del necessario.

Questi principi si applicano al trattamento di dati personali nel contesto lavorativo, così come in altri ambiti. Essi prendono in considerazione le circostanze in cui i dati vengono trattati, compreso il caso in cui sono trattati da un subappaltatore esterno.

Esempio:

Il fatto che un istituto bancario detenga un archivio dei suoi clienti contenente, anche, i codici personali della previdenza sociale potrebbe risultare eccessivo, ma se un datore di lavoro non ha tali informazioni sui lavoratori egli non può adempiere ai suoi obblighi.

Diverse Autorità per la Protezione Dati considerano probabilmente sproporzionata la raccolta dei codici della previdenza sociale di tutti i candidati ad un posto di lavoro e, quìndi, una violazione dei principi di protezione dei dati.

Solo al candidato che viene assunto si dovrebbe chiedere di fornire questi ulteriori dettagli.

Il principio per il quale i dati personali devono essere trattati in modo corretto e lecito conferisce un significativo strumento di protezione. Per essere trattati lecitamente, i dati personali devono essere trattati in maniera da non infrangere la legge di protezione dei dati personali o altri principi di legge. Questi ultimi potrebbero consistere in principi generali relativi al contesto lavorativo, come ad esempio l'obbligo di riservatezza che il dipendente ha verso il datore di lavoro, o in specifici principi da osservarsi in sede di assunzione, come ad esempio una norma che proibisce alcuni tipi di discriminazione nell'attività lavorativa.

Perché vi sia correttezza nel trattamento, i dati devono essere trattati in modo da non far subire ingiustizie all'interessato. Si tratta di una disposizione potenzialmente molto ampia. Per esempio: la sorveglianza del lavoratore, anche se soddisfa i requìsiti della Direttiva in tutti gli aspetti, deve nondimeno essere realizzata in modo da risultare "corretta" per il lavoratore soggetto alla sorveglianza.

Questo è un requìsito supplementare di proporzionalità.

E' importante ricordare che gli articoli 6, 7 e 8 hanno un effetto cumulativo. I principi dell'art.6 sono un elemento vitale della protezione che la Direttiva accorda ai lavoratori in relazione al trattamento dei loro dati personali. I dati personali detenuti dal datore di lavoro possono risultare eccessivi, anche se sono stati forniti spontaneamente dal lavoratore che ha acconsentito al loro trattamento. Le leggi nazionali di alcuni Stati Membri possono, in alcuni casi, vietare la raccolta di alcuni dati anche in presenza di un consenso.

Il trattamento di dati personali in un contesto di sorveglianza del lavoratore potrebbe essere scorretto anche se il lavoratore ha acconsentito alla sorveglianza o anche se uno dei principi dell'art.7 è stato soddisfatto. Il fatto che il consenso sia stato rilasciato può essere tenuto in conto per valutare se il trattamento incontri i requìsiti dell'art.6. Quanto questo possa incidere varia da uno Stato all'altro, ma la presenza del consenso non può mai essere un elemento determinante.

9.1. Principi da tenere in maggior considerazione in materia di trattamento dei dati personali nel contesto lavorativo

I lavoratori non perdono il loro diritto alla privacy varcando, ogni mattina, la soglia del luogo ove prestano la propria attività. Tuttavia, la privacy non è un diritto assoluto perché deve trovare equìlibrio con altri interessi legittimi, diritti o libertà. E questo vale anche per il contesto lavorativo.

I lavoratori, fin quando sono parte di un organizzazione, devono accettare un certo grado di intrusione nella loro privacy e devono condividere alcune informazioni a carattere personale con il datore di lavoro. Il datore di lavoro ha un legittimo interesse a trattare i dati dei propri dipendenti per quei fini che, leciti e legittimi, sono necessari al naturale sviluppo del rapporto di lavoro e al buon funzionamento dell'azienda.

La questione, perciò, non verte mai su quanto il trattamento di dati sul posto di lavoro sia, di per sé stesso, attività lecita o meno. La vera questione consiste nel determinare quali limiti la protezione dei dati possa porre a detta attività o, per converso, quali ragioni possano giustificare la raccolta ed il conseguente trattamento dei dati personali di ogni singolo lavoratore.

Evidentemente, non esistono a priori risposte assolute a simili questioni. I livello di tollerabilità dell'intrusione nella privacy dipenderà molto dalla natura dell'impiego e dalle specifiche circostanze che circondano e influenzano il rapporto di lavoro.

Esempio:

Quante informazioni personali relative ad un lavoratore potenziale può raccogliere un datore di lavoro?

La risposta sarà molto diversa a seconda che la domanda riguardi il capo della sicurezza della European Investment Bank oppure uno dei dipendenti del bar nello stesso palazzo.

Il Gruppo di Lavoro intende individuare alcuni principi estratti dalla Direttiva 95/46/CE che devono governare tutte le attività di trattamento dati nel contesto lavorativo. Le Autorità di controllo degli Stati Membri sono chiamate a giocare un ruolo fondamentale nell'applicazione di questi principi generali al caso concreto, tenendo particolare conto delle peculiarità della legislazione nazionale.

PRINCIPI DI BASE IN MATERIA DI TUTELA DEI DATI RELATIVI AL TRATTAMENTO DI DATI PERSONALI DEI LAVORATORI

 

FINALITA'

TRASPARENZA

LEGITTIMITA'

PROPORZIONALITA'

ESATTEZZA E REGOLE PER LA CONSERVAZIONE DEI DATI

SICUREZZA

SENSIBILIZZAZIONE DEL PERSONALE

FINALITA'

I dati devono essere raccolti per fini specifici, espliciti e legittimi e, in seguito, non possono essere trattati in modo incompatibile con queste finalità. Il Gruppo di Lavoro sta attualmente lavorando per fornire alcune linee guida sul punto.

Esempio:

Gli indirizzi personali dei lavoratori raccolti per fini retributivi non possono essere successivamente utilizzati a scopo di marketing senza un esplicito consenso. Comunque, uno scopo compatibile potrebbe essere, in una fase successiva, quello teso a trattare questi dati per includere o rivalutare i rimborsi spese nello stipendio.

TRASPARENZA

Questo principio dovrebbe permeare ogni operazione. Nei singoli Stati Membri, molte delle operazioni di trattamento svolte in ambito lavorativo potrebbero violare norme poste a tutela dei dati personali, non perché il trattamento sia di per sé illecito, ma perché i lavoratori non sono stati informati del fatto che queste vengono svolte. Come minimo, i lavoratori devono sapere quali dati il datore di lavoro raccolga sul loro conto (direttamente o presso terzi) e quali siano gli scopi delle operazioni di trattamento previste o svolte su questi dati, nel presente e nel futuro.

La trasparenza è altrettanto assicurata quando si permette all'interessato di accedere ai propri dati personali e con l'obbligo per il responsabile del trattamento di notifica all'Autorità garante così come previsto dalle leggi nazionali.

Esempio:

Un datore di lavoro potrebbe avere un legittimo interesse a controllare l'efficienza dei suoi dipendenti valutandone le prestazioni nell'uso del computer (per esempio, monitorare quanto tempo è stato alla tastiera, il numero di file elaborati, l'ora in cui il terminale è stato acceso e spento, etc.). Nulla impedisce questo tipo di trattamento purché il dipendente ne sia stato preventivamente informato. Se questo tipo di sorveglianza viene realizzata all'insaputa del personale, il trattamento dei dati dei lavoratori risulta contrario alle disposizioni della Direttiva 95/46/CE.

LEGITTIMITA'

Ciascuna operazione di trattamento, anche se svolta in totale trasparenza rispetto ai lavoratori, può essere svolta soltanto se legittima. Sebbene abbiamo già profondamente analizzato la questione in un altro capitolo, è bene ricordare che l'art.7, lett. f) della Direttiva59 non lascia al datore di lavoro carta bianca su qualsiasi trattamento di dati relativi ai dipendenti. Il trattamento non solo deve risultare proporzionato, ma deve anche non recare, in modo ingiustificato, pregiudizio ai diritti e alle libertà degli interessati.

Esempio:

Il datore di lavoro ha un legittimo interesse a valutare le prestazioni dei suoi dipendenti e, per questo, egli avrà spesso necessità di trattare dati personali. Il requìsito di legittimità sarà soddisfatto solamente se qualsiasi controllo sulle prestazioni non reca, in modo ingiustificato, pregiudizio ai diritti e alle libertà dell'interessato. Il modo in cui ciò possa verificarsi, per esempio mediante alcuni controlli su e.mail o accessi Internet, è discusso nella Sezione 12.

PROPORZIONALITA'

Infine, supponendo che i lavoratori siano stati informati e che il trattamento sia legittimo, i dati personali devono risultare adeguati, pertinenti e non eccedenti rispetto allo scopo per cui sono raccolti e di seguito trattati60.

Supponendo che il lavoratore sia stato informato circa l'operazione di trattamento e supponendo che tale attività sia legittima e proporzionata, il trattamento deve anche risultare corretto nei confronti del lavoratore61.

Questo principio di proporzionalità è potenzialmente ad ampio raggio e si presenta sotto vari aspetti nel contesto lavorativo. Comunque, la più importante tra le sue conseguenze è quella che impone al datore di lavoro di trattare i dati personali nella maniera meno intrusiva possibile. Diversi elementi devono essere presi in considerazione quando si persegue questa discrezione: il rischio che si corre, la quantità di dati implicati, la finalità del trattamento, etc.

Esempio:

I datori di lavoro potrebbero avere l'esigenza di sapere (in relazione a determinati impieghi) se i candidati possiedono un autovettura e la patente di guida. Il datore di lavoro ha il diritto di richiedere queste informazioni, ma andrebbe contro il principio di proporzionalità se chiedesse anche il modello o il colore dell'autovettura del candidato.

ESATTEZZA E REGOLE PER LA CONSERVAZIONE DEI DATI

Gli archivi del datore di lavoro devono essere accurati e, laddove necessario, aggiornati. Il datore di lavoro deve assumere tutte le precauzioni possibili affinché i dati inesatti o incompleti, rispetto agli scopi per cui sono stati raccolti o di seguito trattati, siano cancellati o rettificati. Gli archivi devono essere conservati tramite modalità che permettano l'individuazione del lavoratore per un periodo non superiore a quello necessario alla realizzazione degli scopi per i quali erano stati raccolti e ulteriormente trattati.

Esempio:

La valutazione annuale di un lavoratore contiene informazioni relative ad una precisa data e ad un preciso contatto. Dopo alcuni anni non è più necessario, in via di principio, conservare le informazioni relative a tali valutazioni. Quìndi, il periodo di mantenimento dovrebbe limitarsi al massimo ai 2 o 3 anni successivi alla valutazione.

I datori di lavoro possono garantire l'esattezza dei dati personali dei lavoratori, ad esempio, fornendo loro copia annuale dei dossier individuali.

SICUREZZA

Il datore di lavoro deve mettere in opera le misure tecniche ed organizzative appropriate al luogo di lavoro per garantire la sicurezza dei dati dei dipendenti. Particolare protezione dovrebbe essere assicurata a prevenzione di accessi o diffusioni non autorizzati. I dati personali devono essere tenuti al riparo dalla curiosità di altri lavoratori o di soggetti terzi. La tecnologia attuale offre ragionevoli strumenti con i quali prevenire accessi o diffusioni non autorizzati e che, in ogni caso, permettono l'identificazione del personale che accede all'archivio. Se si usa un elaboratore elettronico, tra il datore di lavoro e il terzo che fornisce la macchina vi dev'essere un contratto che fornisca garanzie di sicurezza ed assicurazioni sul fatto che il computer operi soltanto seguendo le istruzioni del datore di lavoro.

Esempi di misure di sicurezza sul posto di lavoro:

  • Password/sistemi d'identificazione per l'accesso ai dossier informatizzati

  • Individuazione e controllo di accessi e diffusioni

  • Copie di back-up

  • Criptazione dei messaggi, in particolare, se i dati vengono trasferiti al di fuori dell'organizzazione

SENSIBILIZZAZIONE DEL PERSONALE

Il personale responsabile o incaricato del trattamento dei dati personali di altri lavoratori deve essere informato riguardo la protezione dei dati e ricevere un'adeguata formazione. Sarebbe preferibile che i contratti d'assunzione di questo personale contengano una clausola di riservatezza professionale. Il personale deve essere avvisato delle possibili conseguenze che un trattamento illecito potrebbe avere su di essi, sull'organizzazione e, naturalmente, sulla privacy degli altri colleghi. Senza un'adeguata formazione del personale che tratta dati personali non potrà mai esservi un adeguato rispetto per la privacy del lavoratore.

10. Consenso

Da quanto detto fin quì, dovrebbe essere chiaro che, in particolare se non vi sono dati sensibili, il trattamento di dati personali nel contesto lavorativo in molti casi non necessita del consenso del dipendente. Il consenso sarà una soluzione alternativa se le cause d'eccezione di cui agli art.7 e 8 non risultassero applicabili. Laddove il consenso è necessario, esso dev'essere in ogni caso valido e il datore di lavoro deve soddisfare i criteri della Direttiva, compresi quelli degli art.6 e 15 relativi alle decisioni automatizzate. Inoltre il lavoratore dev'essere informato sul trattamento così come richiesto dagli art.10 e 11.

La Direttiva definisce il consenso come "qualsiasi manifestazione di volontà libera, espressa, specifica ed informata, mediante la quale l'interessato accetta il fatto che i suoi dati personali siano oggetto di trattamento". Nel caso di dati sensibili il consenso dev'essere, per di più, espresso. Il Gruppo di Lavoro "Articolo 29" è dell'avviso che, quando il consenso del lavoratore è necessario, ma un suo eventuale diniego potrebbe causare un reale o potenziale pregiudizio, il consenso non è idoneo a soddisfare gli art.7 e 8 e non potrebbe qualificarsi come libero. Quindi, i lavoratori devono poter negare il proprio consenso senza pregiudizio.

Una situazione complessa può presentarsi quando il rilascio del consenso è una condizione dell'assunzione. Il lavoratore può in teoria rifiutare il proprio consenso, ma la conseguenza potrebbe essere la perdita dell'opportunità di lavoro. In tali circostanze il consenso non si manifesta liberamente e quìndi non è valido.

La situazione è ancor più evidente quando, come spesso è il caso, tutti i datori di lavoro pongono la stessa o simili condizioni d'assunzione.

IL GRUPPO DI LAVORO "ARTICOLO 29" E' DELL'AVVISO CHE, SE UN DATORE DI LAVORO DEVE TRATTARE DATI PERSONALI COME CONSEGUENZA NECESSARIA ED INEVITABILE DEL RAPPORTO DI LAVORO, E' FUORVIANTE CERCARE LA LEGITTIMAZIONE DEL TRATTAMENTO ATTRAVERSO CONSENSO. IL RICORSO AL CONSENSO DOVREBBE LIMITARSI AI CASI IN CUI IL LAVORATORE DISPONGA DI UNA VERA LIBERA SCELTA E, DI CONSEGUENZA, POSSA ANCHE NEGARE IL CONSENSO SENZA RISCHIO DI DETRIMENTO.

Negli altri casi il lavoratore deve anche ricevere l'informativa (articolo 10) ed i principi di cui agli articoli 7 e 8 devono risultare tanto estesi da poter legittimare il trattamento su basi alternative al consenso.

Il Gruppo di Lavoro è cosciente che le leggi di molti Stati Membri conferiscono alle rappresentanze locali dei lavoratori un ruolo di protezione dei diritti dei lavoratori, anche, nel campo della tutela dei dati. Per esempio, in alcuni Stati Membri, le imprese devono raggiungere un accordo con le rappresentanze sindacali prima di poter introdurre forme di controllo sul luogo di lavoro.

11. Diritti individuali in materia di tutela dei dati personali

In qualità di "interessati", i lavoratori beneficiano dei diritti concessi dalla Direttiva 95/46/CE.

Il più importante è il diritto di accesso conferito dall'art.12 della Direttiva in virtù del quale ogni interessato ha diritto di ottenere dal responsabile del trattamento (in questo caso, il datore di lavoro):

a) senza limitazione, ad intervalli ragionevoli e senza eccessivi ritardi o spese:

  • Conferma che i suoi dati siano o meno trattati, informazioni sulle finalità del trattamento, la tipologia dei dati implicati, e i destinatari o la categoria di destinatari a cui i dati sono comunicati o diffusi;

  • Comunicazione in forma comprensibile dei dati oggetto di trattamento e di ogni informazione disponibile sulla loro fonte;

  • Conoscenza delle logiche sottese ai trattamenti automatizzati, quantomeno nei casi di decisioni automatizzate

b) a seconda delle circostanze, la rettifica, la cancellazione o il blocco dei dati nel caso in cui il trattamento non sia conforme alla Direttiva, in particolare in ragione della natura incompleta o inesatta dei dati;

c) notificazione ai terzi a cui i dati erano stati comunicati di ogni rettifica, cancellazione o blocco effettuati in conformità a quanto affermato sub b), salvo che l'operazione risulti impossibile o comporti uno sforzo sproporzionato.

L'interessato ha altresì il diritto di opporsi, sulla base di motivi legittimi e preponderanti nella sua particolare situazione, al fatto che il datore di lavoro tratti i suoi dati anche se la legislazione nazionale dispone diversamente (articolo 14 della Direttiva) e il diritto di esser risarcito dei danni patiti in seguito a trattamento illecito o per altro atto incompatibile con la normativa a tutela dei dati.

Il Gruppo di Lavoro ha già presentato una raccomandazione concernente i dati relativi alla valutazione del personale dipendente62 e sul punto potrà fornire altre linee guida in futuro.

12. Sorveglianza e monitoraggio

Diversi aspetti relativi all'applicazione delle Direttive 95/46/CE e 97/66/CE sulla sorveglianza e il monitoraggio dei lavoratori sono stati già affrontati. Non ci dovrebbe esser più alcun dubbio sul fatto che i principi di tutela dei dati si applicano al monitoraggio e alla sorveglianza dei lavoratori nell'uso della posta elettronica, dell'accesso ad Internet, tramite videocamere o dati di localizzazione.

L'applicazione della Direttiva alla sorveglianza e al momitoraggio e l'importanza accordata al tema sono evidenziate dagli sviluppi avvenuti negli Stati Membri, quali i rapporti e le iniziative menzionate nell'Introduzione.

Dovrebbe comunque essere chiaro che:

  • Ogni controllo, specialmente se condotto sulle basi dell'art.7 della Direttiva 95/46/CE e, in ogni caso, se conforme all'art.6, deve essere una risposta del datore di lavoro proporzionata al rischio che egli corre nel prendere in esame la privacy legittima e gli altri interessi del dipendente.

  • Tutti i dati personali detenuti o utilizzati durante il controllo devono essere pertinenti, rilevanti e non eccedenti rispetto allo scopo che giustifica il monitoraggio. Il controllo deve esser il meno possibile invasivo. Deve essere limitato all'area di rischio e deve tenere in considerazione le regole a tutela dei dati e, dove applicabile, il principio di segretezza della corrispondenza63.

  • I controlli, compresa la videosorveglianza, devono essere conformi ai criteri di trasparenza dell'art.10. I lavoratori devono essere informati dell'esistenza di un sistema di sorveglianza, degli scopi per cui i dati sono trattati e di tutte le altre informazioni necessarie a garantire la correttezza del trattamento. La Direttiva non tratta in maniera meno restrittiva il controllo del lavoratore che utilizza Internet e la posta elettronica se il monitoraggio avviene tramite una telecamera installata nell'ufficio.

Esempio:

Un esempio tipico di cui il lavoratore potrebbe non essere a conoscenza è quello relativo ai dati di localizzazione. E' vero che la tutela dei dati di localizzazione sarà inclusa nella proposta di Direttiva sul trattamento dei dati personali e la tutela della vita privata nel settore delle telecomunicazioni. Questa Direttiva dovrà sostituire la Direttiva 97/66/CE. Sebbene i dati di localizzazione saranno esplicitamente trattati nella nuova Direttiva, tali dati nondimeno già ricadono nell'ambito di applicazione sia della Direttiva 95/46/CE che della Direttiva 97/66/CE.

I requìsiti di proporzionalità trattati nel precedente paragrafo trovano applicazione in toto al trattamento che il datore di lavoro compie sui dati di localizzazione relativi al lavoratore.

Il Gruppo di Lavoro "Articolo 29" riconosce che vi sia necessità di ulteriori elementi di guida nell'applicazione della Direttiva in materia di controllo e sorveglianza delle comunicazioni elettroniche del lavoratore (ad es., e.mail, Internet).

La produzione di tali linee guida è impegnativa e, pertanto, il Gruppo di Lavoro ha in ogni caso chiesto al sottogruppo che ha stilato questa opinione preliminare di iniziarne lo sviluppo.

13. Trasferimento dei dati dei lavoratori verso paesi terzi

L'art.25 della Direttiva stabilisce che il trasferimento di dati personali verso un paese terzo non appartenente alla UE può avvenire soltanto se il paese terzo assicura un adeguato livello di tutela dei dati. Bisogna ricordare che, a prescindere dai motivi del trasferimento di cui agli artt.25 e 26, il trattamento oggetto di trasferimento deve essere conforme agli artt.6 e 8, nonché a tutte le altre disposizioni della Direttiva.

L'art.26 concede alcune deroghe allorché:

  • l'interessato ha fornito in modo inequìvocabile il proprio consenso al proposto trasferimento (rimangono quì valide le stesse considerazioni fatte al capitolo 10), oppure

  • il trasferimento è necessario all'esecuzione di un contratto tra interessato e responsabile del trattamento, oppure

  • il trasferimento è necessario o giuridicamente obbligatorio per il perseguimento di un importante interesse pubblico, ovvero per l'esercizio o la difesa di un diritto in giudizio, oppure

  • il trasferimento avviene in base a soluzioni contrattuali autorizzate da uno Stato Membro e che garantiscono adeguata protezione, oppure

  • il trasferimento si basa su clausole contrattuali standard approvate dalla Commissione che garantiscono adeguata protezione.

Il Gruppo di Lavoro crede sia preferibile affidarsi all'adeguatezza della protezione garantita dal paese di destinazione piuttosto che affidarsi alle eccezioni previste dall'art.26, ad es. il consenso del lavoratore. Quando ci si affida al consenso, questo deve essere fornito in modo libero ed inequìvocabile. I lavoratori sarebbero mal consigliati al fare affidamento sul solo consenso, ad eccezione del caso in cui non sia fonte di problemi un suo ritiro in un secondo momento.

Se il paese terzo non assicura un adeguato livello di tutela e nessuna delle eccezioni risulta applicabile, il datore di lavoro può, in alternativa, ottenere il consenso inequìvocabile del dipendente al trasferimento.

Il Gruppo di Lavoro riconosce l'importanza di queste disposizioni nel contesto lavorativo. E' evidente che una significativa percentuale dei trasferimenti internazionali comportano il trattamento di dati di lavoratori da parte di multinazionali o gruppi d'affari. Si deve tenere a mente che numerosi trasferimenti partono da un responsabile del trattamento con sede nella U.E., destinati ad un altro soggetto fuori dalla U.E. In questo caso, il datore di lavoro con sede nella U.E. rimane il responsabile del trattamento che deve rispondere alle richieste d'accesso da parte del lavoratore ai suoi dati personali e che deve rispettare gli altri suoi diritti.

Il Gruppo di Lavoro "Articolo 29" ha riposto grande attenzione alla questione dei trasferimenti internazionali e ha pubblicato diverse opinioni al riguardo64.

13.1. Trasferimento di dati secondo il sistema Safe Harbor

Il sistema americano Safe Harbor65 contiene specifiche per il trasferimento e il conseguente trattamento di dati di lavoratori europei da parte di organizzazioni americane con sede negli Stati Uniti66.

Pur non essendo questo il contesto in cui descrivere nel dettaglio tali disposizioni, vale comunque la pena sottolineare come le informazioni concernenti il rapporto di lavoro godano di una tutela rafforzata in questo sistema. Ad esempio, si riconosce che "determinate condizioni generalmente applicabili al trasferimento da alcuni Stati Membri possono escludere altre utilizzazioni di queste informazioni, anche dopo il trasferimento fuori dalla U.E., e tali condizioni dovranno essere rispettate". Inoltre, le Autorità europee di supervisione rimangono gli organi competenti in ordine alle violazioni delle norme a tutela dei dati in ambito lavorativo. Aderendo al Safe Harbor, le organizzazioni americane si impegnano a cooperare nelle investigazioni e a conformarsi agli avvisi delle autorità comunitarie competenti in materia.

13.2. Trasferimento di dati professionali sulla base di clausole contrattuali standard

Il trasferimento di dati dei lavoratori è possibile grazie alla decisione della Commissione che ha definito le clausole contrattuali standard per i casi in cui il destinatario agisce in qualità di responsabile del trattamento ed incorpora le clausole stesse nel contratto stipulato con un esportatore di dati personali con sede nella Comunità.67

Le clausole contrattuali standard approvate dalla Commissione offrono un meccanismo alternativo per trasferire dati personali dei dipendenti a filiali o società affiliate stabilite in paesi terzi ove non sussiste un adeguato livello di tutela dei dati.

In virtù delle clausole contrattuali standard, può essere trasferito qualsiasi tipo di dati utilizzati nel contesto lavorativo, anche quelli di natura sensibile. Le garanzie stabilite dal contratto sono invocabili dai lavoratori direttamente presso il proprio datore di lavoro o direttamente presso il responsabile del trattamento stabilito in un paese terzo.68

14. Conclusioni

La Direttiva 95/46/CE si applica in modo pieno e completo ai dati personali dei lavoratori.

Sebbene la Direttiva conceda ai singoli Stati membri un certo margine di manovra per dettagliare le condizioni di trattamento, l'applicazione di principi contenuti in questo Parere è comune e generale. Questo Parere mira a fornire un contributo per un'applicazione uniforme delle disposizioni nazionali adottate in ossequìo alla Direttiva 95/46/CE.

C'è una necessaria ed auspicabile interazione tra la tutela dei dati, il diritto del lavoro e la prassi seguita in ambito lavorativo. Non tutte le questioni connesse al fatto che si trattano dati personali sono riconducibili alla disciplina posta a tutela dei dati, ma questa interazione è importante per assicurare soluzioni che proteggano davvero gli interessi dei lavoratori.

Il legittimo interesse del datore di lavoro giustifica alcune restrizioni della privacy individuale sul posto di lavoro. Talvolta sono la legge o gli interessi di terzi che impongono queste limitazioni. Comunque, nessun interesse commerciale può mai prevalere sui principi di trasparenza, liceità del trattamento, legittimità, proporzionalità, necessità ed altri principi contenuti nella Direttiva 95/46/CE. I lavoratori possono sempre opporsi al trattamento quando questo può potenzialmente soverchiare in modo ingiustificato i loro diritti e le loro libertà fondamentali.

Data la particolarità del rapporto di lavoro, il consenso non sarà in generale uno strumento di legittimazione del trattamento in ambito lavorativo.

Nei casi in cui possa operare, il consenso deve sempre essere libero, specifico ed informato.

Il Gruppo di Lavoro intende fornire ulteriori linee guida in materia di sorveglianza e monitoraggio sul posto di lavoro, ma tutti i principi descritti in questo Parere si applicano in modo completo a queste attività

Bruxelles, 13 settembre 2001

Per il Gruppo di Lavoro
Il Presidente
Stefano RODOTA'

 

NOTE

  1. Il Gruppo di Lavoro "Articolo 29" è un organo consultivo composto da esponenti delle autorità preposte alla tutela dei dati negli Stati Membri, agisce in modo indipendente e ha il compito, tra gli altri, di prendere in esame tutte le questioni concernenti l'applicazione di misure nazionali adottate sotto la Direttiva 95/46/CE al fine di contribuire ad una uniforme applicazione di tali misure.
  2. Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 sulla protezione degli individui rispetto al trattamenti dei dati personali e sulla libera circolazione di questi dati. OJ L 281, 23.11..95, p. 31
  3. Le seguenti Autorità per la Protezione Dati hanno contribuito al lavoro di questo sottogruppo: AT, BE, DE, EL, ES, FR, IR, IT, NL, UK.
  4. Il documento include un elenco delle leggi più rilevanti in materia di tutela dei dati, tra quelle promulgate negli Stati Membri, che abbiano una qualche incidenza in ambito lavorativo.
  5. Costituiscono esempi di registrazioni che solitamente comportano un trattamento di dati personali soggetto alla Direttiva 95/46/CE: domande d'assunzione e curriculum, stipendi, dati fiscali e previdenziali, le registrazioni relative alle ferie annuali, alle assenze straordinarie/non retribuite, alle note informative/di valutazione annuali, alle promozioni, ai trasferimenti, la formazione, ai problemi di disciplina, agli infortuni sul lavoro, etc.
  6. Ogni persona interessata ha il diritto di ottenere dal responsabile del trattamento (in questo caso il datore di lavoro):

a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessive:
  • La conferma dell'esistenza o meno di trattamenti di dati che la riguardano, e l'informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatati cui sono comunicati i dati.
  • La comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull'origine dei dati.
  • La conoscenza della logica applicata nei trattamenti automatizzati dei dati che la interessano, per lo meno nel caso delle decisioni automatizzate.
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati;
c) la notificazione ai terzi, ai quali sono stati comunicati i dati di qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente alla lettera b), se non si dimostra che è impossibile o implica uno sforzo sproporzionato.  7. Official Journal n. L 281 del 23/11/1995, p. 31, consultabile sul sito:
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
  8. www.privacy.fgov.be
  9. www.cnil.fr/thematic/indextd2.htm
10. www.dpa.gr (soltanto in lingua greca)
11. www.cbpweb.nl
12. non disponibile sul Web; si contatti: Agencia de Protección de Datos. C/Sagasta 22, 28004, Madrid
13. wood.ccta.gov.uk/dpr/dpdoc.nsf
14. Le seguenti autorità di supervisione hanno contribuito al lavoro di questo sottogruppo: AT, BE, DE, EL, ES, FR, IR, IT, NL, UK.
15. Dati trattati per facilitare l'accesso ad alcuni servizi, quali la scuola materna, gli studi, il trasporto/viaggio, ecc. 16. Convenzione Europea sulla salvaguardia dei Diritti dell'Uomo e delle Libertà Fondamentali (ECHR), del 23/11/1992, Serie A N. 251/B, paragrafo 29.17. OJ L 281, 23.11.1995, p. 31. http://europa.eu.int/eur-lex/en/lif/dat/1995/en_395L0046.html
18. OJ L 24, 30.01.98, p. 1.
http://europa.eu.int/eur-lex/pri/en/oj/dat/1998/l_024/l_02419980130en00010008.pdf
19. http://europa.eu.int/eur-lex/en/search/search_lif.html
20. http://europa.eu.int/comm/justice_home/unit/charte/pdf/texte_en.pdf
Articolo 8. Protezione dei dati a carttere personale.
Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.
21. http://conventions.coe.int/treaty/EN/WhatYouWant.asp?NT=108&CM=8&DF=
22. http://cm.coe.int/ta/rec/1989/89r2.htm
23. http://cm.coe.int/ta/rec/1997/97r5.html
24. http://www.legal.coe.int/dataprotection/Default.asp?fd=rec&fn=R(86)1E.htm
25. http://www.bka.gv.at/datenschutz/indexe.htm
26. Sez. 9, paragrafo 11
27. Constitutional Act on Labour No. 22/1974, Art.96.
28. Genetic Engineering Act No. 510/1994, Sez.67.
29. http://www.privacy.fgov.be/loi98coordi.htm
30. http://www.datatilsynet.dk/eng/index.html
31. http://www.tietosuoja.fi/uploads/hopxtvf.HTM
32. Questa è al prima normativa nella Comunità che si occupa specificamente della tutela dei dati sul luogo di lavoro. Questa normativa affronta gran parte delle questioni menzionate in questa Opinione e altre tematiche particolari come i test di valutazione dei dipendenti (Sezione 5), esami medici ed altri test (Sezione 6), test genetici (Sezione 7), dati sullo stato di salute del lavoratore (Sezione 8) o procedure relative alla sorveglianza tecnologica ed alle modalità d'utilizzo delle risorse informatiche (Sezione 9).
33. http://www.cnil.fr/textes/index.htm
34. http://www.legifrance.gouv.fr/html/frame_codes1.htm
35. http://www.bfd.bund.de/information/BDSG_neu.pdf
36. http://www.dpa.gr/2472.htm
37. http://www.dataprivacy.ie/6ai.htm
38. http://astra.garanteprivacy.it/garante/frontdoor/1,1003,,00.html?LANG=2
39. http://www.registratiekamer.nl/bis/top_2_6.html
40. Working Conditions Acts (novembre 1998), Arts. 5.1.-5.3, Works Council Law (ottobre 1999), General Labour regulations for governmental staff (dicembre 2000)
41. Articolo 29. Le Rappresentanze devono essere informate, sentite e, in qualche caso, devono dare consenso nel caso di accordi collettivi.
42. Solo in alcuni casi quando è necessario ad adempiere un obbligo di legge, il datore di lavoro può far uso di numeri d'identificazione personale.
43. http://www.cnpd.pt/Leis/leis.htm
44. Art.32(8) — Qualsiasi prova ottenuta mediante intrusione abusiva nella vita privata, domicilio, corrispondenza e telecomunicazioni è inaccettabile; Art.34(1) — La riservatezza della corrispondenza e degli altri mezzi di comunicazione è inviolabile.
45. Art.5 — Confidentiality of communications (http://www.cnpd.pt/Leis/leis.htm)
46. Artt.3(2) e 4
47. Art.3 e 4
48. Artt.16, 17 e 18
49. http://www.agenciaprotecciondatos.org/datd1.htm
50. http://www.agenciaprotecciondatos.org/datd8.htm
51. http://www.ccoo.es/legislacion/ley11_8S.htm
52. http://www.ccoo.es/legislacion
53. http://www.websindical.com/legis/prl.htm
54. http://www.datainspektionen.se/in_english/
55. Articolo 11 Lag (1976:580), Artt.1 e 3 Lag (1998: 150)
56. http://wood.ccta.gov.uk/dpr/dpdoc.nsf
57. http://www.datatilsynet.no/
58. http://www.personuvernd.is/tolvunefnd.nsf/pages/1E685B166D04084D00256922004744AE
59. Questo articolo stabilisce: gli Stati membri prevedono che i dati personali possano essere processati se il trattamento è necessario a fini di legittimi interessi perseguiti dal responsabile, in questo caso il datore di lavoro.
60. Articolo 6.1.c) della Direttiva 95/46/CE
61. Articolo 6: Gli Stati Membri dispongono che i dati personali devono essere trattati lealmente e lecitamente.
62. Vedi Racommandazione 1/2001 su Employee Evaluation Data (Valutazione dei dipendenti), adottata dal Gruppo di Lavoro il 22 marzo (WP 42, 5008/01).
63. Vedi anche Artt.7 e 8 della Carta dei Diritti Fondamentali UE sottoscritta e proclamata in Nizza il 7 dicembre 2000
64. Vedi Opinione 5/99 sul livello di tutela dei dati personali in Svizzera (WP 22, 5054/99, adottata il 7 giugno 1999) e l'Opinione 6/99 sul livello di tutela dei dati personali in Ungheria (WP 24, 5071/99, adottata il 7 settembre 1999) ed il Documento di Lavoro "Trasferimento di dati personali verso paesi terzi: applicazione degli artt.25 e 26 della Direttiva UE sulla protezione dei dati" (WP 12, 5025/98, adottata 24 giugno 1998).
65. Safe Harbor, OJ L 215 dd. 25 agosto 2000
66. Vedi FAQ 9 "Human Resources Data"
67. Vedi la decisione della Commissione del 15 giugno 2001 sulle clausole contrattuali standard per il trasferimento dei dati personali verso paesi terzi, sotto la Direttiva 95/46/CE, OJ rif. OJ L 181, 04.07.01; dove necessario altre formalità derivanti dalla legislazione nazionale dovranno essere osservate
68. http://europa.eu.int/comm/internal_market/en/dataprot/news/clauses2faq.htm