Tutto il rapporto di lavoro, dalla fase di selezione alla sua stessa estinzione, presuppone il trattamento di una notevole quantità di dati personali, riferibili non soltanto ai candidati e ai lavoratori ma, talvolta necessariamente, anche ai loro familiari. Il GDPR e il provvedimento numero 146 del Garante per la privacy spiegano come farlo senza commettere errori. Utile dunque approfondire le prescrizioni dell’autorità italiana.
Indice degli argomenti
Il quadro normativo
È compresa, dunque, una platea vastissima di soggetti che è stata ritenuta dal legislatore europeo meritevole di particolari cautele, ragion per cui l’art. 88 del GDPR, nel segno della continuità con la legislazione nazionale in materia, ha previsto la possibilità per gli Stati membri di definire, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, con particolare riguardo alle “finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro”.
In particolare, lo scorso 29 luglio è stato pubblicato sul n. 179 della Gazzetta Ufficiale il tanto atteso provvedimento n. 146 del Garante per la protezione dei dati personali, recante prescrizioni relative al trattamento di categorie particolari di dati in determinati contesti, tra cui quello lavorativo; ciò allo scopo di ridurre al minimo i rischi di danno o di pericolo per i diritti e le libertà fondamentali derivanti dall’ elaborazione di tali tipologie di dati, tanto nella fase preliminare alle assunzioni che nel corso del rapporto di lavoro stesso.
Il provvedimento del Garante
Il provvedimento in parola, che tiene conto dei principali contributi pervenuti nel corso della consultazione pubblica avviata nel 2018 e si inserisce nel più ampio procedimento di adeguamento delle disposizioni di diritto interno alla normativa europea, ha ridefinito i parametri a cui devono conformarsi tutti coloro che in veste di Titolari o Responsabili del trattamento trattano categorie particolari dati. In tal modo il Garante, in attuazione dell’art. 21, comma 1, del d.lgs. 10 agosto 2018 n. 101, ha completato la procedura di revisione delle prescrizioni contenute nelle 9 autorizzazioni generali, adottate ante GDPR, alla luce del nuovo quadro normativo europeo e nazionale.
Difatti l’art. 9 del GDPR se da un lato individua i presupposti per il trattamento dei dati personali che rivelano l’origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. “categorie particolari di dati personali”) dall’altro prevede, proprio tenuto conto della specialità di questi dati e della necessità di offrire sufficienti garanzie di tutela ai soggetti interessati, la possibilità per gli Stati membri di intervenire a introdurre ulteriori condizioni e limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute.
Le prescrizioni del Garante non si applicano esclusivamente ai datori di lavoro pubblici o privati, ma anche alle agenzie del lavoro, ai consulenti, ai liberi professionisti, al medico competente in materia di salute e di sicurezza sul lavoro, nonché a tutti quei soggetti che a vario titolo trattando i dati di candidati all’instaurazione del rapporto di lavoro, di lavoratori subordinati e autonomi, nonché dei consulenti, dei liberi professionisti e dei soggetti terzi familiari, conviventi o danneggiati nell’esercizio dell’attività lavorativa o professionale.
L’importanza del principio di minimizzazione
Anzitutto è opportuno sottolineare che uno dei cardini attorno al quale ruota qualsivoglia elaborazione di informazioni personali è il principio di proporzionalità e minimizzazione previsto all’art. 5 par. 1 del GDPR, secondo il quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Certo è, dunque, che questo principio possa tradursi nell’assunto secondo il quale il datore di lavoro, o altro soggetto a lui equiparato, potrà trattare solo i dati personali che risultino strettamente necessari per l’instaurazione e/o esecuzione del rapporto di lavoro. Partendo da tale fondamentale presupposto il Garante, richiamando l’art. 9 par. 2 del GDPR, ha chiarito che il trattamento di categorie particolari di dati potrà essere effettuato solo se indispensabile:
- per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa europea o nazionale di riferimento, compresi i contratti collettivi anche aziendali, con riguardo ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del regolamento UE 2016/679), nonché al riconoscimento di agevolazioni ovvero all’erogazione di contributi, all’applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
- anche fuori dei casi previsti dalla lettera precedente, nel rispetto della legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
- per la salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
- per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalla normativa nazionale ed europea di riferimento, compresi i contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
- per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
- per garantire le pari opportunità nel lavoro; g) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
In particolare è previsto che i dati genetici non possano mai essere trattati al fine di stabilire l’idoneità professionale dell’interessato all’impiego, neanche in presenza del suo espresso consenso e, inoltre, con riferimento alla fase preliminare all’istaurazione del rapporto di lavoro, che qualora nei curricula ricevuti siano presenti dati non pertinenti rispetto alla finalità di assunzione, questi non debbano essere utilizzati da coloro che stanno effettuano la selezione. Il Garante, poi, ha precisato che, nel corso del rapporto professionale, il datore di lavoro o altro soggetto a lui equiparato possa trattare dati personali particolari quali convinzioni religiose o filosofiche, opinioni politiche o l’appartenenza sindacale solo al fine della fruizione di permessi o limitatamente agli altri casi previsti dalla legge o dai contratti collettivi.
Le modalità di trattamento dei dati
Circa poi le modalità di trattamento dei dati, è previsto che questi, di regola, siano raccolti presso l’interessato e che, in tutte le comunicazioni contenenti categorie particolari di dati che lo riguardano, si ricorra a forme di comunicazione, anche elettroniche, individualizzate nei suoi confronti o di un suo delegato, anche per il tramite di personale autorizzato. Nel caso in cui, invece, si proceda alla trasmissione del documento cartaceo, questo dovrà essere consegnato, di regola, in plico chiuso, salva la necessità di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell’atto.
È chiarito inoltre che, qualora risulti necessario comunicare documenti contenenti categorie particolari di ad altri uffici o funzioni della medesima struttura organizzativa, in ragione delle rispettive competenze, questi debbano “contenere esclusivamente le informazioni necessarie allo svolgimento di quella stessa funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all’interno del testo”. Per quanto riguarda, invece, i dati relativi alla presenza o assenza dal servizio, per ragioni di organizzazione del lavoro, non devono mai essere accompagnati da informazioni idonee a rivelare a terzi le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari). Il Garante, infine, ha sottolineato che la violazione delle prescrizioni contenute nel provvedimento in parola è soggetta alla sanzione amministrativa pecuniaria di cui all’art. 83 par. 3 del GDPR.
