I dati relativi alla salute delle persone fisiche, come gli altri dati “sensibili”[1], sono chiari indicatori dell’esercizio di un diritto fondamentale. Per questo motivo, in ragione della loro particolare natura, il GDPR fissa una tutela maggiore e differenziata di questa particolare categoria di dati personali, stabilendo un chiaro, generale divieto del loro trattamento.
Infatti l’art. 9, paragrafo 1 GDPR stabilisce distintamente che è vietato trattare i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, biometrici e quelli relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Il paragrafo 2 dello stesso articolo prevede però alcuni tassativi casi in cui è possibile derogare a tale divieto, laddove ciò avvenga nell’interesse pubblico, in particolare per eseguire il trattamento dei dati personali nel settore del diritto del lavoro e della protezione sociale, comprese le pensioni, e per finalità di sicurezza sanitaria, controllo e allerta, nonché per la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute[2].
Si tratta comunque di un trattamento molto particolare, che deve essere eseguito applicando un complesso quadro regolatorio, composto da principi e regole del GDPR, norme del Codice della privacy novellato e prescrizioni del Garante italiano, la cui violazione espone l’impresa al possibile pagamento della sanzione pecuniaria più elevata dell’intero sistema privacy: 20 milioni di euro o il 4% del fatturato totale mondiale annuo dell’esercizio precedente.
Vediamo allora quali sono le regole da seguire e come effettuare una verifica della compliance dei trattamenti in atto, utile a presidiare non solo i dati sanitari ma tutti i dati “sensibili” dei lavoratori dipendenti.
Sistema di data protection: la documentazione da produrre, aggiornare e conservare
Indice degli argomenti
Il rispetto dei principi di protezione dei dati personali
Nella gestione del rapporto di lavoro, l’impresa, che ha il ruolo privacy di “titolare”[3], deve aver cura che i trattamenti di dati relativi alla salute dei lavoratori dipendenti, sviluppati in ambito aziendale, siano sempre allineati ai principi fondamentali fissati dall’art. 5 GDPR durante tutto il “ciclo di vita” del trattamento, i.e. dalla progettazione fino alla cessazione delle attività.
Si tratta di un macro-adempimento “scritto su pietra”, categorico ed imprescindibile, tanto da essere stato riaffermato dal Legislatore anche durante l’emergenza pandemica. Infatti, l’art. 17 bis del D.L. 18/2020 convertito in L. 27/2020 (il c.d. “Cura Italia”) nell’introdurre misure di potenziamento del Servizio Sanitario Nazionale, da mantenere fino al termine dello stato di emergenza, aveva ribadito ed avvalorato l’obbligo di conformare i trattamenti di dati personali al rispetto dei principi di cui all’articolo 5 GDPR.
Pertanto i dati sanitari, in ambito aziendale, devono, sempre e comunque, essere:
- trattati in modo lecito, corretto e trasparente: bisogna quindi avere ben chiaro il quadro regolatorio da applicare, predisponendo un’adeguata informativa da rendere ai lavoratori, in linea con le loro aspettative («liceità, correttezza e trasparenza»);
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità: si deve aver cura di determinare solo le finalità verso le quali sono orientate le tipologie di trattamenti tassativamente indicate al paragrafo 2 dell’art. 9 GDPR;
- adeguati, pertinenti e limitati a quanto indispensabile rispetto alle citate finalità («minimizzazione dei dati»);
- esatti e, se necessario, aggiornati: per cui, devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);
- trattati in modo sicuro adottando tutte le misure richieste ai sensi dell’articolo 32 («integrità e riservatezza»).
L’impresa deve infine annotare i trattamenti di dati sanitari sul registro delle attività di trattamento al fine di comprovare l’effettiva compliance[4].
Attenzione: i contenuti del registro devono corrispondere ai contenuti dell’informativa che l’impresa è tenuta a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano.
Le finalità del trattamento di dati sanitari
Una particolare attenzione va posta nel determinare le finalità del trattamento dei dati sanitari che può essere eseguito solo se necessario[5]:
- per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalle norme eurounitarie o nazionali o da contratti collettivi anche aziendali, ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro nonché del riconoscimento di agevolazioni ovvero dell’erogazione di contributi, dell’applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
- inoltre, per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
- per perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
- per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione;
- per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
- per garantire le pari opportunità nel lavoro;
- per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
Il complesso quadro regolatorio
Per individuare le corrette basi di liceità è necessario progressivamente:
- individuare dapprima una delle basi giuridiche previste dall’art. 6 GDPR che giustificano il trattamento. Potrebbe essere un contratto, un obbligo legale o un compito di interesse pubblico, o anche un legittimo interesse dell’impresa. Attenzione: è estremamente improbabile che il consenso costituisca una base giuridica per il trattamento dei dati sul posto di lavoro[6]. Questo, perché il consenso deve essere libero e l’evidente squilibrio, che esiste tra il datore di lavoro ed il lavoratore, rende improbabile che il consenso sia stato prestato liberamente[7];
- identificare, successivamente, uno dei presupposti fissati dal paragrafo 2 dell’art. 9 del GDPR che consentono di derogare al divieto di trattamento dei dati sanitari. Attenzione: come specificato dai Garanti Europei[8], le condizioni di liceità che consentono di derogare al divieto di trattamento devono essere applicate in “cumulo congiunto” con le basi giuridiche fissate dall’art. 6 GDPR;
- applicare, quindi, le prescrizioni fissate nel provvedimento del GPDP n. 146 del 5 giugno 2019, sia per i trattamenti eseguiti nella fase preliminare delle assunzioni sia per quelli effettuati nel corso del rapporto di lavoro. Al riguardo va chiarito che il paragrafo 4 dell’art. 9 GDPR prevede che gli Stati membri possano mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento dei dati relativi alla salute (oltre che di dati genetici e dati biometrici). Tale facoltà è stata esercitata dal nostro Legislatore che, nell’art. 2 septies del Codice della Privacy novellato, ha previsto che i dati relativi alla salute, nonché quelli genetici e biometrici, possono essere oggetto di trattamento: a)quando è presente una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR; b) ed in conformità a specifiche misure di garanzia disposte dal Garante. Orbene, tali misure, ad oggi, non sono ancora state emanate dall’Autorità di controllo. Nelle more, fino all’adozione di tali misure, in linea con quanto stabilito dall’art. 21 del D.Lgs. 101/2018, si applicano le prescrizioni contenute nelle autorizzazioni generali già adottate nel 2016 dal Garante, le quali, proprio con il citato provvedimento n.146 del 2019, sono state anche specificamente aggiornate per renderle compatibili con il GDPR. Attenzione: in base al comma 5 del citato art. 21 del D.Lgs.n. 101/2018, la violazione delle prescrizioni contenute nel detto provvedimento generale sono soggette alla sanzione amministrativa più elevata tra quelle previste dal GDPR: i.e. 20 milioni di euro o 4% del fatturato totale mondiale annuo dell’esercizio precedente.
- Seguire, poi, tutte le indicazioni compatibili con il GDPR contenute nel provvedimento GPDP del 23 novembre 2006 “Linee guida sul trattamento di dati personali dei lavoratori privati”. I datori di lavoro pubblici possono fa riferimento al provvedimento GPDP n.23 del 14 giugno 2007 rubricato “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”
Nella seguente tabella sinottica vengono riepilogati i progressivi adempimenti da porre in essere per attuare il complesso quadro regolatorio.
Le nomine degli autorizzati al trattamento
L’impresa ha l’obbligo di preporre al trattamento dei dati sanitari dei lavoratori apposito personale formalmente nominato “autorizzato al trattamento”, attraverso una designazione scritta personale e nominativa. Gli autorizzati devono avere precise cognizioni in materia di protezione dei dati personali e devono inoltre ricevere una formazione adeguata.
Attenzione: in assenza di un´adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito.
Verifica della compliance mediante un’analisi di processo
I suggerimenti e le indicazioni precedenti vanno tenute presenti sia in fase di progettazione dei trattamenti dei dati sanitari dei lavoratori dipendenti sia nel corso degli audits di prima parte finalizzati a verificare periodicamente il livello di compliance dell’Organizzazione.
Al fine di agevolare tale verifica si propone di seguito una “check list” da seguire nell’analisi dei processi aziendali:
- I dati sanitari sono stati raccolti per una finalità indicata punto 1.3 dell’Allegato 1 al Provvedimento GPDP n. 146 del 5 giugno 2019?
- La base giuridica ex art. 6 GDPR è determinata?
- Il presupposto di liceità fissato dall’art. 9, paragrafo 2 del GDPR è stato individuato?
- È stata data agli interessati un’adeguata informativa?
- Il trattamento disegnato/effettuato è in linea con le aspettative degli interessati?
- I dati sanitari sono stati trattati in modo non incompatibile con le finalità per le quali erano stati raccolti?
- I dati sanitari risultano necessari? Sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati?
- I dati sanitari risultano esatti e aggiornati? Sono state adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali erano stati trattati?
- I dati sanitari sono/sono stati conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati?
- Sono state adottate misure di sicurezza per proteggere la riservatezza, l’integrità e la disponibilità dei dati?
- Sono state adottate misure di sicurezza contro il trattamento non autorizzato o illecito dei dati?
- Sono state adottate misure di sicurezza per evitare la distruzione o la perdita dei dati o il danno accidentale?
- Il trattamento è stato annotato sul registro dei trattamenti?
Attenzione: l’impresa dovrà interrompere il trattamento e riprogettarlo qualora l’esito della verifica sui processi aziendali che in atto renda evidente una non conformità ai principi fissati dall’art. 5 GDPR che non è suscettibile di correzione in tempi brevi.
NOTE
Invero i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, biometrici e quelli relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona definiti “sensibili” nella precedente normativa sono ora qualificati “Categorie particolari di dati personali”. ↑
Così testualmente il Considerando 52 GDPR. ↑
Così al punto 27 delle Linee Guida EDPB 7 del 2020 versione 2.0 adottate il 7 luglio 2021. ↑
Vds. Art. 5, par. 2 e art. 30 GDPR. ↑
Vds. punto 1.3 dell’Allegato 1 al Provvedimento GPDP n. 146 del 5 giugno 2019. ↑
Così nel Parere del WP 29 n. 2/2017 sul trattamento dei dati sul posto di lavoro (WP 249). ↑
Vds. Considerando 43 GDPR. ↑
Vds. Parere 6/2014 del WP 29 (WP217), paragrafo III.1.2. ↑