Il provvedimento del Garante della privacy 5 giugno 2019, n. 146 , ha fornito le prescrizioni necessarie a trattare le particolari categorie di dati personali nell’ambito del rapporto di lavoro. Il provvedimento rappresenta, dunque, una vera e propria guida operativa per chi, a vario titolo, tratta i dati personali sia in fase di ricerca e selezione, che nella gestione del rapporto di lavoro.

Premessa

Il Garante della privacy, in conseguenza del nuovo Reg. (UE) 27 aprile 2016, n. 2016/679/UE (GDPR, General Data Protection Regulation) e del successivo D.Lgs. 10 agosto 2018, n. 101 (che ha aggiornato il previgente codice della privacy), è intervenuto aggiornando le autorizzazioni generali rilasciate in vigenza della precedente normativa.

Il provvedimento, in particolare, disciplina:

1. il trattamento delle particolari categorie di dati nei rapporti di lavoro;
2. il trattamento delle particolari categorie di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose;
3. il trattamento delle particolari categorie di dati da parte degli investigatori privati;
4. il trattamento dei dati genetici;
5. il trattamento effettuato per scopi di ricerca scientifica.

Con il presente intervento, si analizza, in particolare, il punto 1.

Il provvedimento in oggetto rappresenta un atto di centrale rilevanza in considerazione del fatto che la normativa sulla privacy è particolarmente importante nella gestione del rapporto di lavoro; rappresenta, in effetti, una vera e propria guida operativa per chi, a vario titolo (titolare o responsabile esterno), tratta dati personali sia in fase di ricerca e selezione, che nella gestione del rapporto di lavoro.

Prima di analizzare il contenuto del provvedimento, conviene ricordare cosa si intende per “categorie particolari” di dati personali.

 Attenzione
Le particolari categorie di dati ex art. 9 del GDPR riguardano i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

In generale, il trattamento di tali dati personali è vietato, salvo che ricorrano le condizioni previste dall’art. 9, par. 2, del GDPR. Tra queste rileva la circostanza che l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche.

Conviene altresì brevemente inquadrare la base giuridica del provvedimento in esame. Sul punto, si ricorda, che l’art. 21 del D.Lgs. n. 101/2018 ha demandato al Garante, con provvedimento di carattere generale da porre in consultazione pubblica, di individuare le prescrizioni contenute nelle autorizzazioni generali già adottate che risultano compatibili con le disposizioni del GDPR e del codice della privacy (come modificato dallo stesso D.Lgs. n. 101/2018) e, ove occorra, provvedere al loro aggiornamento. 

Con il provvedimento generale 13 dicembre 2018, n. 497, il Garante ha individuato le prescrizioni contenute nelle autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016, che risultano compatibili con il regolamento e con il D.Lgs. n. 101/2018 . Con il medesimo provvedimento il Garante ha deliberato, come richiesto dall'art. 21, comma 1, del D.Lgs. n. 101/2018, di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni, che si è conclusa decorsi sessanta giorni dalla data di pubblicazione del relativo avviso (Gazzetta ufficiale n. 9 dell'11 gennaio 2019). In considerazione delle osservazioni e delle proposte pervenute al Garante, quest’ultimo ha ritenuto di dovere apportare specifiche modifiche e integrazioni alle attuali autorizzazioni, al fine, tra l’altro, di armonizzarle nel contesto normativo vigente.

Pertanto, il Provv. 5 giugno 2019, n. 146 (pubblicato nella G.U. n. 176 del 29 luglio 2019), sostituisce di fatto l’autorizzazione generale n. 1/2016, concernente il trattamento dei dati sensibili nel rapporto di lavoro. Viene, altresì, chiarito (come ricordato nella newsletter del Garante del 22 luglio 2019) che le autorizzazioni generali n. 2, 4 e 5 del 2016 - riguardanti, rispettivamente, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari - cessano anch’esse di produrre i propri effetti, in quanto prive di specifiche prescrizioni.

Ciò premesso, con riguardo all’attività di trattamento relativa al lavoro, il provvedimento tratta i seguenti aspetti:

• ambito di applicazione soggettivo e oggettivo;
• finalità del trattamento;
• prescrizioni specifiche relative alle diverse categorie particolari di dati;
• modalità di trattamento.

Ambito di applicazione del provvedimento

È, innanzitutto, definito l’ambito di applicazione del provvedimento.

Il provvedimento in oggetto trova applicazione nei confronti di datori di lavoro pubblici e privati (titolare/responsabile del trattamento), che, a vario titolo, effettuano trattamenti per finalità di instaurazione, gestione ed estinzione del rapporto di lavoro.

Si ricorda che il titolare del trattamento (in inglese, data controller) può essere definito come il centro di imputazione delle decisioni in ordine al trattamento dei dati dallo stesso posto in essere. È, dunque, per così dire, il (principale) “soggetto attivo” del trattamento dei dati personali. Più precisamente, con riguardo alla normativa europea, l’art. 4, par. 1, n. 7), del GDPR, definisce il titolare del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

La definizione di responsabile del trattamento (o “data processor”, nel linguaggio anglosassone) è, invece, prevista dall’art. 4 , par. 1, n. 8,) del GDPR. 

In particolare, il responsabile del trattamento regolamentato dal GDPR è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
In sintesi e senza pretesa di esaustività, può affermarsi che il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento ed è di solito un terzo esterno all’azienda (persona fisica o persona giuridica) che realizza i trattamenti per conto del titolare in outsourcing.

Entrando più nello specifico, sotto il profilo soggettivo, il provvedimento trova applicazione per i seguenti soggetti:

1. agenzie per il lavoro e altri soggetti che, in conformità alla legge, svolgono, nell'interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale, ivi compresi gli enti di formazione accreditati;
2. persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un raporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale a consulenti, liberi professionisti e figure similari;
3. organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa dell'Unione europea, dalle leggi, dai regolamenti o dai contratti collettivi, anche aziendali;
4. rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;
5. soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro;
6. associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi in materia di assistenza sindacale ai datori di lavoro;
7. medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate.

Dal punto di vista dell’ambito oggettivo, il provvedimento, in particolare, si applica ai trattamenti relativi alle seguenti categorie particolari di dati personali riferiti a:

1. candidati all'instaurazione dei rapporti di lavoro, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell'instaurazione di un rapporto di lavoro;
2. lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l'abilitazione professionale, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati, anche in compartecipazione;
3. consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
4. soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio con i soggetti destinatari del provvedimento;
5. persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi destinatari del provvedimento;
6. terzi danneggiati nell'esercizio dell’attività lavorativa o professionale;
7. terzi (familiari o conviventi dei soggetti di cui alle precedenti lett. b e d) per il rilascio di agevolazioni e permessi.

Individuazione della finalità del trattamento

Il provvedimento dispone che il trattamento delle categorie particolari di dati personali è effettuato solo se necessario (art. 9, par. 2, del Reg. UE n. 2016/679/UE):

1. per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché del riconoscimento di agevolazioni ovvero dell'erogazione di contributi, dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
2. anche fuori dei casi di cui alla lett. a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
3. per perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
4. per fare valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria;
5. per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell’attività lavorativa o professionale;
6. per garantire le pari opportunità nel lavoro;
7. per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.

Prescrizioni specifiche relative alle diverse categorie particolari di dati

Come anticipato, il provvedimento si occupa di introdurre specifiche prescrizioni relativamente ai trattamenti effettuati:

1. nella fase preliminare alle assunzioni;
2. nel corso del rapporto di lavoro.

Il provvedimento, tra le altre cose, precisa che i trattamenti legati alla fase preliminare alle assunzioni devono riguardare le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti. 

Il provvedimento effettua dalle precisazioni anche sulla gestione dei curricula.

 Attenzione
Si ricorda che già l’art. 111-bis, del codice della privacy, come modificato dal D.Lgs. n. 101/2018, dispone che le informazioni che devono essere rilasciate mediante informativa di cui all'art. 13 del GDPR, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine dell’instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all'invio del curriculum medesimo.
Inoltre, nei limiti delle finalità di cui all'art. 6, par. 1, lett. b), del GDPR (ovverosia quando il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso), il consenso al trattamento dei dati personali presenti nei curricula non è dovuto.

Il provvedimento precisa che, se nei curricula inviati dai candidati sono presenti dati non pertinenti rispetto alla finalità perseguita, i datori di lavoro che effettuano la selezione devono astenersi dall'utilizzare tali informazioni. Inoltre, i dati genetici non possono essere trattati al fine di stabilire l’idoneità professionale di un candidato all'impiego, neppure con il consenso dell'interessato. Pertanto, secondo quanto statuito dal provvedimento, i dati esuberanti, così come quelli genetici, non potranno essere oggetto di valutazione al fine dell’idoneità del candidato.

Si tratta, dunque, di prescrizioni che sono state poste in ossequio, in particolare, al principio di limitazione delle finalità e della minimizzazione.

 Attenzione
In base al principio di limitazione delle finalità (art. 5, par. 1, lett. b, del GDPR), il titolare del trattamento dovrà personalizzare la raccolta e, in generale, il trattamento dei dati rispetto all’attività svolta e alle finalità del trattamento. Dovranno, quindi, essere stabiliti ex ante i dati necessari da raccogliere presso l’interessato e sarà poi necessario verificare, nel corso del trattamento, che siano utilizzati unicamente detti dati.
Inoltre, ai sensi dell’art. 5, par. 1, lett. c), del GDPR, i dati raccolti devono essere adeguati e pertinenti alle finalità per le quali sono trattati. Dunque, i dati personali raccolti e trattati non devono essere superflui o sovrabbondanti rispetto alle finalità del trattamento. I dati non devono essere eccedenti quelli necessari rispetto alle finalità del trattamento sotto il profilo sia quantitativo che qualitativo. Dal punto di vista pratico, il titolare del trattamento dovrà personalizzare la raccolta e, in generale, il trattamento dei dati rispetto all’attività svolta e alle finalità del trattamento.

I medesimi principi sono stabiliti con riguardo ai trattamenti effettuati nel corso del rapporto di lavoro.

 Esempio
E’ stabilito che il datore di lavoro deve trattare dati che rivelano le convinzioni religiose o filosofiche ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l'esercizio dell'obiezione di coscienza.

Inoltre il datore di lavoro deve trattare i dati che rivelano le opinioni politiche o l'appartenenza sindacale, o l'esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi, anche aziendali, nonché per consentire l'esercizio dei diritti sindacali, compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali.

 Nota Bene
Il provvedimento statuisce, infine, che il datore di lavoro non può trattare dati genetici al fine di stabilire l’idoneità professionale di un dipendente, neppure con il consenso dell'interessato.

Modalità di trattamento dei dati

Con riferimento alle modalità di trattamento, il provvedimento stabilisce alcune regole generali:

1. i dati devono essere raccolti, di regola, presso l'interessato;
2. in tutte le comunicazioni all'interessato che contengono categorie particolari di dati devono essere utilizzate forme di comunicazione anche elettroniche individualizzate nei confronti di quest'ultimo o di un suo delegato, anche per il tramite di personale autorizzato. Nel caso in cui si proceda alla trasmissione del documento cartaceo, questo dovrà essere trasmesso, di regola, in plico chiuso, salva la necessità di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell'atto;
3. i documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all'interno del testo. A tale fine, dovranno essere selezionate e impiegate modalità di trasmissione della documentazione che ne garantiscano la ricezione e il relativo trattamento da parte dei soli uffici o strutture organizzative competenti e del solo personale autorizzato;
4. quando per ragioni di organizzazione del lavoro, e nell'ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall'interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell'assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (ad esempio, permessi sindacali o dati sanitari).

Sanzioni

Si ricorda, infine, che l’art. 21, comma 5, del D.Lgs. n. 101/2018, ha stabilito che “Salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento (UE) 2016/679”.

Pertanto, le violazioni del provvedimento in esame comportano l’applicazione (salvo che il fatto costituisca reato) di una sanzione amministrativa pecuniaria fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Twitter