Autorizzazione n. 1/1997 al trattamentodei dati sensibili nei rapporti di lavoro

IL GARANTE

Vista la legge 31 dicembre 1996, n. 675, e successivemodificazioni ed integrazioni, in materia di tutela delle personee di altri soggetti rispetto al trattamento dei dati personali;

Visto, in particolare, l'art. 22, comma 1, dellacitata legge n. 675/1996, il quale individua come «sensibili»i dati personali idonei a rivelare l'origine razziale ed etnica,le convinzioni religiose, filosofiche o di altro genere, le opinionipolitiche, l'adesione a partiti, sindacati, associazioni od organizzazionia carattere religioso, filosofico, politico o sindacale, nonchéi dati personali idonei a rivelare lo stato di salute e la vitasessuale;

Rilevato che tali dati possono essere trattati daisoggetti pubblici solo in presenza di un'apposita disposizionedi legge che specifichi i dati che possono essere trattati, leoperazioni eseguibili e le rilevanti finalità di interessepubblico perseguite, senza necessità, pertanto, di un'autorizzazionedi questa Autorità; constatato che i soggetti pubblicipossono proseguire fino al 7 maggio 1998 i trattamenti di datisensibili iniziati prima dell' 8 maggio 1997, previa comunicazionea questo Garante;

Considerato che i soggetti privati e gli enti pubblicieconomici possono trattare tali dati solo previa autorizzazionedi questa Autorità e con il consenso scritto degli interessati,e che occorre quindi riferire solo a tali soggetti l'ambito diapplicazione delle autorizzazioni, fatta eccezione per il trattamentodei dati idonei a rivelare lo stato di salute da parte degli organismisanitari pubblici, che sarà preso in considerazione conseparato provvedimento in applicazione dell'art. 23 della leggen. 675/1996;

Considerato che il Garante può rilasciarele autorizzazioni, anche d'ufficio, nei confronti di singoli titolario, con provvedimenti generali, di determinate categorie di titolario di trattamenti, come precisato dall'art. 41, comma 7, dellalegge n. 675/1996, nel testo sostituito dall'art. 4, comma 1,del decreto legislativo 9 maggio 1997, n. 123;

Ritenuto opportuno rilasciare alcune autorizzazionigenerali prima della scadenza del termine del 30 novembre 1997,e ciò al fine di semplificare gli adempimenti che la leggen 675/1996 pone a carico di determinate categorie di titolari,nonché di assicurare una migliore funzionalità dell'ufficiodel Garante e di armonizzare le prescrizioni da impartire conle autorizzazioni;

Rilevato che sono in fase di predisposizione alcunidecreti legislativi per il completamento della disciplina sullaprotezione dei dati personali che, in attuazione della legge 31dicembre 1996, n. 676, dovranno prevedere entro il 23 luglio 1998alcune norme integrative in tema di dati sensibili, anche in attuazionedelle raccomandazioni adottate in materia dal Consiglio d'Europa;

Considerata, quindi, l'opportunità che inquesta fase transitoria le autorizzazioni non rechino disposizioniparticolarmente dettagliate, e ciò allo scopo di evitareche l'attività dei titolari, ferme restando alcune garanzieper gli interessati, sia soggetta a modifiche sostanziali in unbreve periodo di tempo;

Ritenuto pertanto opportuno rilasciare, allo stato,alcune autorizzazioni provvisorie, in conformità anchea quanto previsto dall'emanando regolamento concernente l'organizzazionee il funzionamento dell'ufficio di questa Autorità;

Ritenuta, tuttavia, la necessità che le autorizzazioniprendano in considerazione le finalità dei trattamenti,le categorie di dati, di interessati e di destinatari della comunicazionee della diffusione, nonché il periodo di conservazionedei dati stessi, in quanto la disciplina di tali aspetti èprevista dalla legge n. 675/1996 ai fini dell'applicazione dellenorme sull'esonero dall'obbligo della notificazione e sulla notificazionesemplificata (art. 7, comma 5-quater );

Considerata la necessità che sia garantito,anche nell'attuale fase transitoria, il rispetto di alcuni principivolti a ridurre al minimo i rischi di danno o di pericolo chei trattamenti potrebbero comportare per i diritti e le libertàfondamentali, nonché per la dignità delle persone,specie per quanto riguarda la riservatezza e l'identitàpersonale, principi valutati anche sulla base delle raccomandazionidel Consiglio d'Europa;

Considerato che un ampio numero di trattamenti didati sensibili è effettuato ai fini dell'adempimento diobblighi contabili, retributivi, previdenziali, assistenzialie fiscali nell'ambito dei rapporti di lavoro, e che è pertantonecessario che tali trattamenti formino oggetto di un'autorizzazionegenerale ai sensi dell'art 41, comma 7, della legge n. 675/1996;

Autorizza:

>il trattamento dei dati sensibili di cui all'articolo22, comma 1, della legge n. 675/1996, finalizzato alla gestionedei rapporti di lavoro, alle condizioni di seguito indicate.

1) Ambito di applicazione

L'autorizzazione è rilasciata, anche senzarichiesta di parte:

a ) alle persone fisichee giuridiche, alle imprese, agli enti, alle associazioni e agliorganismi che sono parte di un rapporto di lavoro o che utilizzanoprestazioni lavorative anche atipiche o parziali o temporaneeai sensi della legge 24 giugno 1997, n. 196, o che comunque conferisconoun incarico professionale alle figure indicate al successivo punto2, lettere b) e c);

b ) a organismi paritetici e ad altri organismi che gestisconoosservatori in materia di lavoro, previsti da leggi, da regolamentio da contratti collettivi anche aziendali, ovvero dalla normativacomunitaria.

L'autorizzazione riguarda anche l'attivitàsvolta dal medico competente in materia di igiene e di sicurezzadel lavoro, in qualità di libero professionista o di dipendentedei soggetti di cui alla lettera a) o di strutture convenzionate.

2) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare i dati sensibiliattinenti:

a) a lavoratori dipendenti,anche se prestatori di lavoro temporaneo o in rapporto di tirocinio,apprendistato e formazione e lavoro, ovvero ad associati anchein compartecipazione e, se necessario in base ai punti 3) e 4),ai relativi familiari e conviventi;

b ) a consulenti e a libero professionisti, ad agenti,rappresentanti e mandatari;

c ) a soggetti che effettuano prestazioni coordinate econtinuative o ad altri lavoratori autonomi in rapporto di collaborazionecon i soggetti di cui al punto 1);

d ) a candidati all'instaurazione dei rapporti di lavorodi cui alle lettere precedenti;

e ) a persone fisiche che ricoprono cariche sociali nellepersone giuridiche, negli enti, nelle associazioni e negli organismidi cui al punto 1).

3) Finalità del trattamento

Il trattamento dei dati sensibili deve essere necessario:

a ) per adempiereo per esigere l'adempimento di specifici obblighi o per eseguirespecifici compiti previsti da leggi, da regolamenti o da contratticollettivi anche aziendali, ovvero dalla normativa comunitaria,in particolare ai fini del rispetto della normativa in materiadi previdenza e assistenza anche integrativa, o in materia diigiene e sicureza del lavoro o della popolazione, nonchéin materia fiscale, di tutela della salute, dell'ordine e dellasicurezza pubblica;

b ) anche fuori dei casi di cui alla lettera a), in conformitàalla legge e per scopi determinati e legittimi, ai fini dellatenuta della contabilità o della corresponsione di stipendi,assegni, premi, altri emolumenti, liberalità o beneficiaccessori;

c ) per il perseguimento delle finalità di salvaguardiadella vita o dell'incolumità fisica dell'interessato odi un terzo;

d ) per far valere o difendere un diritto in sede giudiziariaanche da parte di un terzo, sempreché, qualora i dati sianoidonei a rivelare lo stato di salute e la vita sessuale, il dirittoda far valere o difendere sia di rango pari a quello dell' interessato.

4) Categorie di dati

Il trattamento può avere per oggetto i datistrettamente pertinenti agli obblighi, ai compiti o alle finalitàdi cui al punto 3) e, in particolare:

a ) nell'ambito deidati idonei a rivelare le convinzioni religiose, filosofiche odi altro genere, ovvero l'adesione ad associazioni od organizzazionia carattere religioso o filosofico, i dati concernenti la fruizionedi permessi e festività religiose o di servizi di mensa,nonché la manifestazione, nei casi previsti dalla legge,dell'obiezione di coscienza;

b ) nell'ambito dei dati idonei a rivelare le opinionipolitiche, l'adesione a partiti, sindacati, associazioni od organizzazionia carattere politico o sindacale, i dati concernenti l'eserciziodi funzioni pubbliche e di incarichi politici (semprechéil trattamento sia effettuato ai fini della fruizione di permessio di periodi di aspettativa riconosciuti dalla legge o, eventualmente,da contratti collettivi anche aziendali), ovvero l'organizzazionedi pubbliche iniziative, nonché i dati inerenti alle attivitào agli incarichi sindacali, ovvero alle trattenute per il versamentodelle quote di servizio sindacale o delle quote di iscrizionead associazioni od organizzazioni politiche o sindacali;

c ) nell'ambito dei dati idonei a rivelare lo stato disalute, i dati raccolti in riferimento a malattie anche professionali,invalidità, infermità, maternità e puerperio,ad infortuni, ad esposizioni a fattori di rischio, all'idoneitàpsicofisica a svolgere determinate mansioni o all'appartenenzaa categorie protette.

5) Modalità di trattamento

Fermi restando gli obblighi previsti dagli articoli9, 15 e 17 della legge n. 675/1996, concernenti i requisiti deidati personali, la sicurezza e i limiti posti ai trattamenti automatizzativolti a definire il profilo o la personalità degli interessati,il trattamento dei dati sensibili deve essere effettuato unicamentecon logiche e mediante forme di organizzazione dei dati strettamentecorrelate agli obblighi, ai compiti o alle finalità dicui al punto 3).

Restano inoltre fermi gli obblighi di acquisire ilconsenso scritto dell'interessato e di informare l'interessatomedesimo, in conformità a quanto previsto dagli articoli10 e 22 della legge n. 675/1996.

6) Conservazione dei dati

Nel quadro del rispetto dell'obbligo previsto dall'articolo9, comma 1, lettera e) della legge n. 675/1996, i dati sensibilipossono essere conservati per un periodo non superiore a quellonecessario per adempiere agli obblighi o ai compiti di cui alpunto 3), ovvero per perseguire le finalità ivi menzionate.A tal fine, anche mediante verifiche periodiche, deve essere verificatacostantemente la stretta pertinenza e la non eccedenza dei datirispetto al rapporto, alla prestazione o all'incarico in corso,da instaurare o cessati.

7) Comunicazione e diffusione dei dati

Ai sensi dell'articolo 23, comma 4, della legge n.675/1996, i dati idonei a rivelare lo stato di salute possonoessere diffusi solo se necessario per finalità di prevenzione,accertamento o repressione dei reati, con l'osservanza delle normeche regolano la materia.

I dati idonei a rivelare la vita sessuale non possonoessere diffusi.

Gli altri dati sensibili possono essere comunicati,e ove necessario diffusi, nei limiti strettamente pertinenti agliobblighi, ai compiti o alle finalità di cui al punto 3),a soggetti pubblici o privati, ivi compresi organismi sanitari,casse e fondi di previdenza e assistenza sanitaria integrativaanche aziendale, agenzie di intermediazione, associazioni di datoridi lavoro, liberi professionisti, società esterne titolaridi un autonomo trattamento di dati e familiari dell'interessato.

8) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell'ambitodi applicazione della presente autorizzazione non sono tenutia presentare una richiesta di autorizzazione a questa Autorità,qualora il trattamento che si intende effettuare sia conformealle prescrizioni suddette.

Le richieste di autorizzazione pervenute o che perverrannoanche successivamente alla data di adozione del presente provvedimentodevono intendersi accolte nei termini di cui al provvedimentomedesimo.

Il Garante non prenderà in considerazionerichieste di autorizzazione per trattamenti da effettuarsi indifformità alle prescrizioni del presente provvedimento,salvo che il loro accoglimento sia giustificato da circostanzedel tutto particolari o da situazioni eccezionali non consideratenella presente autorizzazione.

9) Norme finali

Restano fermi gli obblighi previsti da norme di leggeo di regolamento, ovvero dalla normativa comunitaria, che stabilisconodivieti o limiti in materia di trattamento di dati personali e,in particolare, dalle disposizioni contenute:

a ) nell'articolo8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoroai fini dell'assunzione e nello svolgimento del rapporto di lavoro,di effettuare indagini, anche a mezzo di terzi, sulle opinionipolitiche, religiose o sindacali del lavoratore, nonchésu fatti non rilevanti ai fini della valutazione dell'attitudineprofessinale del lavoratore;

b ) nell'articolo 6 della legge 5 giugno 1990, n. 135 chevieta ai datori di lavoro lo svolgimento di indagini volte adaccertare, nei dipendenti o in persone prese in considerazioneper l'instaurazione di un rapporto di lavoro, l'esistenza di unostato di sieropositività;

c ) nelle norme in materia di pari opportunità ovolte a prevenire discriminazioni.

10) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorreredal 30 novembre 1997, fino al 30 settembre 1998.

Qualora alla data del 30 novembre 1997 il trattamentonon sia già conforme alle prescrizioni della presente autorizzazione,il titolare può adeguarsi a esse entro il 31 dicembre 1997,sempreché le caratteristiche del trattamento non permettanoun adeguamento entro un termine più breve.

La presente autorizzazione sarà pubblicata nella GazzettaUfficiale della Repubblica italiana.