| Garante per la protezione dei dati personali Autorizzazione n.1/2008 al trattamento dei dati sensibili nei rapporti di lavoro Registro delledeliberazioni n. 32 del 19 giugno 2008 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazionedel prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno2003, n. 196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1,lett. d), del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26,comma 1, del Codice, i soggetti privati e gli enti pubblici economici possonotrattare i dati sensibili solo previa autorizzazione diquesta Autorit e, ove necessario, con il consenso scritto degli interessati,nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonch dallalegge e dai regolamenti; Visto il comma 4, lett. d), del medesimoart. 26, il quale stabilisce che i dati sensibili possono essere oggetto ditrattamento anche senza consenso, previa autorizzazione del Garante, quando iltrattamento medesimo necessario per adempiere a specifici obblighi o compitiprevisti dalla legge, da un regolamento o dalla normativa comunitaria per lagestione del rapporto di lavoro, anche in materia di igiene e sicurezza dellavoro e della popolazione e di previdenza e assistenza, nei limiti previstidall'autorizzazione e ferme restando le disposizioni del codice di deontologiae di buona condotta di cui all'art. 111 del Codice; Considerato che il trattamento dei datiin questione pu essere autorizzato dal Garante anche d'ufficio conprovvedimenti di carattere generale, relativi a determinate categorie dititolari o di trattamenti (art. 40 del Codice); Considerato che le autorizzazioni dicarattere generale sinora rilasciate sono risultate uno strumento idoneo perprescrivere misure uniformi a garanzia degli interessati, rendendo altressuperflua la richiesta di singoli provvedimenti di autorizzazione da parte dinumerosi titolari del trattamento; Ritenuto opportuno rilasciare nuoveautorizzazioni in sostituzione di quelle in scadenza il 30 giugno 2008,armonizzando le prescrizioni gi impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuoveautorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41,comma 5, del Codice e, in particolare, efficaci per il periodo di diciottomesi; Considerata la necessit di garantire ilrispetto di alcuni princpi volti a ridurre al minimo i rischi di danno o dipericolo che i trattamenti potrebbero comportare per i diritti e le libertfondamentali, nonch per la dignit delle persone, e, in particolare, per ildiritto alla protezione dei dati personali sancito dall'art. 1 del Codice; Considerato che un elevato numero ditrattamenti di dati sensibili effettuato nell'ambito dei rapporti di lavoro; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, ilquale stabilisce che i dati trattati in violazione della disciplina rilevantein materia di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti delCodice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codicerecanti norme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000; Autorizza il trattamento dei dati sensibili di cuiall'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione deirapporti di lavoro, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire iltrattamento i sistemi informativi e i programmi informatici sono configuratiriducendo al minimo l'utilizzazione di dati personali e di dati identificativi,in modo da escluderne il trattamento quando le finalit perseguite nei singolicasi possono essere realizzate mediante, rispettivamente, dati anonimi odopportune modalit che permettano di identificare l'interessato solo in caso dinecessit, in conformit all'art. 3 del Codice.
1) Ambito di applicazione a) alle persone fisiche egiuridiche, alle imprese, anche sociali, agli enti, alle associazioni e agliorganismi che sono parte di un rapporto di lavoro o che utilizzano prestazionilavorative anche atipiche, parziali o temporanee, o che comunque conferisconoun incarico professionale alle figure indicate al successivo punto 2, lettereb) e c); b) ad organismi paritetici o chegestiscono osservatori in materia di lavoro, previsti dalla normativacomunitaria, dalle leggi, dai regolamenti o dai contratti collettivi ancheaziendali; l'autorizzazione riguarda anchel'attivit svolta: c) dal medico competente in materiadi igiene e di sicurezza del lavoro, in qualit di libero professionista o didipendente dei soggetti di cui alla lettera a) o di strutture convenzionate; d) dal rappresentante dei lavoratoriper la sicurezza, anche territoriale e di sito; e) da associazioni, organizzazioni,federazioni o confederazioni rappresentative di categorie di datori di lavoro,al solo fine di perseguire le finalit di cui al punto 3), lettera h).
2) Interessati ai quali i dati siriferiscono Il trattamento puriguardare i dati sensibili attinenti: a) a lavoratori subordinati, anchese parti di un contratto di apprendistato, o di formazione e lavoro, o diinserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata,ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione, oin rapporto di tirocinio, ovvero ad associati anche in compartecipazione e, senecessario in base ai punti 3) e 4), ai relativi familiari e conviventi; b) a consulenti e a liberiprofessionisti, ad agenti, rappresentanti e mandatari; c) a soggetti che effettuanoprestazioni coordinate e continuative, anche nella modalit di lavoro aprogetto, o ad altri lavoratori autonomi in rapporto di collaborazione, anchesotto forma di prestazioni di lavoro accessorio, con i soggetti di cui al punto 1); d) a candidati all'instaurazione deirapporti di lavoro di cui alle lettere precedenti; e) a persone fisiche che ricopronocariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelleassociazioni e negli organismi di cui al punto 1); f) a terzi danneggiatinell'esercizio dell'attivit lavorativa o professionale dai soggetti di cuialle precedenti lettere.
3) Finalit del trattamento a) per adempiere o per esigerel'adempimento di specifici obblighi o per eseguire specifici compiti previstidalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivianche aziendali, in particolare ai fini dell'instaurazione, gestione edestinzione del rapporto di lavoro, nonch dell'applicazione della normativa inmateria di previdenza ed assistenza anche integrativa, o in materia di igiene esicurezza del lavoro o della popolazione, nonch in materia fiscale, sindacale,di tutela della salute, dell'ordine e della sicurezza pubblica; b) anche fuori dei casi di cui allalettera a), in conformit alla legge e per scopi determinati e legittimi, aifini della tenuta della contabilit o della corresponsione di stipendi,assegni, premi, altri emolumenti, liberalit o benefici accessori; c) per perseguire finalit disalvaguardia della vita o dell'incolumit fisica dell'interessato o di unterzo; d) per far valere o difendere un dirittoanche da parte di un terzo in sede giudiziaria, nonch in sede amministrativa onelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi,dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempreche i dati siano trattati esclusivamente per tali finalit e per il periodostrettamente necessario al loro perseguimento. Qualora i dati siano idonei arivelare lo stato di salute e la vita sessuale, il diritto da far valere odifendere deve essere di rango pari a quello dell'interessato, ovveroconsistente in un diritto della personalit o in un altro diritto o libertfondamentale e inviolabile; e) per esercitare il diritto diaccesso ai documenti amministrativi, nel rispetto di quanto stabilito dalleleggi e dai regolamenti in materia; f) per adempiere ad obblighiderivanti da contratti di assicurazione finalizzati alla copertura dei rischiconnessi alla responsabilit del datore di lavoro in materia di igiene e disicurezza del lavoro e di malattie professionali o per i danni cagionati aterzi nell'esercizio dell'attivit lavorativa o professionale; g) per garantire le pariopportunit;
4) Categorie di dati a) nell'ambito dei dati idonei arivelare le convinzioni religiose, filosofiche o di altro genere, ovverol'adesione ad associazioni od organizzazioni a carattere religioso ofilosofico, i dati concernenti la fruizione di permessi e festivit religiose odi servizi di mensa, nonch la manifestazione, nei casi previsti dalla legge,dell'obiezione di coscienza; b) nell'ambito dei dati idonei arivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioniod organizzazioni a carattere politico o sindacale, i dati concernentil'esercizio di funzioni pubbliche e di incarichi politici, di attivit o diincarichi sindacali (sempre che il trattamento sia effettuato ai fini dellafruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o,eventualmente, dai contratti collettivi anche aziendali), ovvero l'organizzazionedi pubbliche iniziative, nonch i dati inerenti alle trattenute per ilversamento delle quote di servizio sindacale o delle quote di iscrizione adassociazioni od organizzazioni politiche o sindacali; c) nell'ambito dei dati idonei arivelare lo stato di salute, i dati raccolti e ulteriormente trattati inriferimento a invalidit, infermit, gravidanza, puerperio o allattamento, adinfortuni, ad esposizioni a fattori di rischio, all'idoneit psico-fisica asvolgere determinate mansioni, all'appartenenza a determinate categorieprotette, nonch i dati contenuti nella certificazione sanitaria attestante lostato di malattia, anche professionale dell'interessato, o comunque relativianche all'indicazione della malattia come specifica causa di assenza dellavoratore.
5) Modalit di trattamento I dati sono raccolti, di regola, pressol'interessato. La comunicazione di dati all'interessatodeve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermorestando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso ocon altro mezzo idoneo a prevenire la conoscenza da parte di soggetti nonautorizzati, anche attraverso la previsione di distanze di cortesia. Restano inoltre fermi gli obblighi diinformare l'interessato e, ove necessario, di acquisirne il consenso scritto,in conformit a quanto previsto dagli articoli 13, 23 e 26 del Codice.
6) Conservazione dei dati
7) Comunicazione e diffusione deidati I dati sensibili possonoessere comunicati e, ove necessario, diffusi nei limiti strettamente pertinentiagli obblighi, ai compiti o alle finalit di cui al punto 3), a soggettipubblici o privati, ivi compresi organismi sanitari, casse e fondi diprevidenza ed assistenza sanitaria integrativa anche aziendale, istituti dipatronato e di assistenza sociale, centri di assistenza fiscale, agenzie per illavoro, associazioni ed organizzazioni sindacali di datori di lavoro e diprestatori di lavoro, liberi professionisti, societ esterne titolari di unautonomo trattamento di dati e familiari dell'interessato. Ai sensi dell'art. 26, comma 5, delCodice, i dati idonei a rivelare lo stato di salute non possono essere diffusi. 8) Richieste di autorizzazione Le richieste di autorizzazione pervenuteo che perverranno anche successivamente alla data di adozione del presenteprovvedimento, devono intendersi accolte nei termini di cui al provvedimentomedesimo. Il Garante non prender in considerazionerichieste di autorizzazione per trattamenti da effettuarsi in difformit dalleprescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 delCodice, il loro accoglimento sia giustificato da circostanze del tuttoparticolari o da situazioni eccezionali non considerate nella presenteautorizzazione.
9) Norme finali a) nell'art. 8 della legge 20 maggio1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nellosvolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo diterzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonchsu fatti non rilevanti ai fini della valutazione dell'attitudine professionaledel lavoratore; b) nell'art. 6 della legge 5 giugno1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte adaccertare, nei dipendenti o in persone prese in considerazione perl'instaurazione di un rapporto di lavoro, l'esistenza di uno stato disieropositivit; c) nelle norme in materia di pariopportunit o volte a prevenire discriminazioni; d) fermo restando quanto dispostodall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del decretolegislativo 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro eagli altri soggetti privati autorizzati o accreditati di effettuarequalsivoglia indagine o comunque trattamento di dati ovvero di preselezione dilavoratori, anche con il loro consenso, in base alle convinzioni personali,alla affiliazione sindacale o politica, al credo religioso, al sesso,all'orientamento sessuale, allo stato matrimoniale o di famiglia o digravidanza, alla et, all'handicap, alla razza, all'origine etnica, al colore,alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato disalute e ad eventuali controversie con i precedenti datori di lavoro, nonch ditrattare dati personali dei lavoratori che non siano strettamente attinentialle loro attitudini professionali e al loro inserimento lavorativo.
10) Efficacia temporale e disciplinatransitoria La presenteautorizzazione ha efficacia a decorrere dal 1 luglio 2008 fino al 31 dicembre2009, salve eventuali modifiche che il Garante ritenga di dover apportare inconseguenza di eventuali novit normative rilevanti in materia. La presente autorizzazione sarpubblicata nella Gazzetta Ufficiale della Repubblica italiana. Roma, 19 giugno 2008 ILPRESIDENTE Pizzetti IL RELATORE Pizzetti |