Non tutti i dati sono uguali

Nei rapporti di lavoro esistono particolari categorie di dati che vanno considerati in modo differente. Alcuni chiarimenti per un loro corretto trattamento alla luce del Gdpr

dati personali

di Federico Serratore* |

L’art. 9 del Gdpr disciplina il trattamento di categorie particolari di dati personali. Nello specifico, in tale nozione rientrano quelli personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, quelli relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

Occorre, preliminarmente, sottolineare che, in linea di principio, il Gdpr vieta il trattamento dei dati appartenenti alle categorie particolari di cui sopra. Ciononostante, presentandosi il concetto di “trattamento” quale piuttosto ampio e tale da ricomprendere ogni tipo di operazione applicata ai dati personali, il Regolamento elenca, all’art. 9 comma 2, i casi specifici in cui il trattamento si ritiene consentito. Tra questi ultimi, rilevano in particolar modo:

  • il caso in cui l’interessato abbia prestato il proprio consenso esplicito al trattamento (lettera a);
  • il caso in cui il trattamento sia necessario al fine di assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro, sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Ue o degli Stati Membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi del soggetto interessato (lettera b).

Il consenso nel rapporto di lavoro

Ai sensi dell’art. 4, comma 11, Gdpr, il consenso viene definito come una «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato».

Come riportato nelle Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679 del Gruppo di lavoro Articolo 29 del 2017 (§3.1 e §3.1.1) e nelle Linee guida 05/2020 sul consenso ai sensi del Regolamento (UE) 2016/679 dell’Edpb (§3.1 e §3.1.1), la manifestazione “libera” implica la necessità che l’interessato effettui una scelta effettiva e che abbia il controllo sui propri dati. Nondimeno, il consenso non si ritiene prestato validamente, laddove l’interessato sia obbligato ad acconsentire o vi siano conseguenze negative derivanti dalla sua negazione.

La medesima presunzione ricorre, altresì, qualora il consenso sia parte non negoziabile delle condizioni generali di contratto/servizio e, dunque, l’interessato non possa rifiutarlo o revocarlo. Occorre tuttavia, segnalare che – quando per titolare del trattamento si intenda il datore di lavoro con riferimento ai lavoratori – sussiste un evidente squilibrio di potere atteso che l’interessato non dispone di alternative all’accettazione (dei termini) del trattamento e, alla luce di ciò, si può ritenere che, relativamente alle attività di trattamento sul luogo di lavoro, la base giuridica non si rinvenga nel consenso.

Il datore di lavoro tratterà i dati personali dei dipendenti secondo la normativa prevista per l’assenza di consenso, anche nei casi in cui il consenso sia stato acquisito espressamente.

Il Provvedimento n. 146 del 2019

Con il Provvedimento n. 146 del 5 giugno 2019 l’Autorità Garante per la Privacy si è occupata di offrire una chiarificazione al Gdpr relativamente al trattamento dei dati personali nel contesto lavorativo, con specifico riguardo al trattamento di categorie particolari di dati, alle quali è necessario rivolgere attenzione e protezione maggiori.

Preme evidenziare che il provvedimento estende il proprio ambito di applicazione a «tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro», elencando poi i ruoli che rilevano [art. 1.1, lett. da a) a g)].

Tali regole sono applicabili al trattamento effettuato dal datore di lavoro, sia pubblico che privato:

    • quale persona fisica o giuridica, impresa, anche sociale, ente, associazione o organismo che sia parte di un rapporto di lavoro;
    • che utilizzi prestazioni lavorative anche atipiche, parziali o temporanee;
    • che comunque conferisca un incarico professionale a consulenti e liberi professionisti, agenti, rappresentanti e mandatari, nonché soggetti che svolgono collaborazioni organizzate dal committente o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio [figure indicate all’art. 1.2, lett. c) e d)].

Oltre al datore di lavoro, il provvedimento è, altresì, rivolto a tutti i soggetti che curino gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell’interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo [art. 1.1, lett. e)], nonché a avvocati e/o commercialisti che sono soggetti ai medesimi profili di garanzia e sicurezza imposti al soggetto titolare. Il

Provvedimento citato si estende, altresì, a ulteriori soggetti quali, a titolo esemplificativo ma non esaustivo, agenzie per il lavoro (anche di intermediazione, ricerca, selezione, ricollocazione professionale), gli enti di formazione accreditati, organismi paritetici, rappresentanti per la sicurezza dei lavoratori, associazioni, organizzazioni, medico competente in materia di salute e sicurezza sul lavoro [tutti meglio indicati all’art. 1.1, lett. da a) a g)].

A chi si rivolge il provvedimento del Garante

Ai sensi dell’art. 1.2 [lett. da a) a f )], il Provvedimento in esame si applica al trattamento di categorie particolari di dati personali, acquisiti, di regola, direttamente presso l’interessato e appartenenti a:

  • candidati all’instaurazione di rapporti di lavoro, anche in caso di curriculum spontaneamente trasmesso;
  • lavoratori subordinati, intesi in senso ampio;
  • consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
  • soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio;
  • persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni o negli organismi obbligati al rispetto del provvedimento;
  • terzi danneggiati nell’esercizio dell’attività lavorativa o professionale;
  • familiari o conviventi dei lavoratori subordinati o dei collaboratori, per il rilascio di agevolazioni e permessi.

Le finalità del trattamento

Conformemente all’art. 9, comma 2, Gdpr, il Garante ha inteso rimarcare che il trattamento delle categorie particolari di dati personali è da ritenersi lecito se effettuato solamente laddove necessario al conseguimento delle specifiche finalità indicate di seguito [art. 1.3, lett. da a) a g)]:

  • adempiere/esigere l’adempimento di specifici obblighi o eseguire specifici compiti per l’instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 Gdpr), per il riconoscimento di agevolazioni, erogazioni di contributi, applicazione della normativa in materia di previdenza ed assistenza anche integrativa o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
  • perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
  • far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, amministrativa o nelle procedure di arbitrato e di conciliazione;
  • adempiere a obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro;
  • in materia di salute e sicurezza del lavoro e di malattie professionali;
  • per i danni cagionati da terzi nell’esercizio dell’attività lavorativa o professionale;
  • garantire le pari opportunità nel lavoro;
  • perseguire scopi determinati legittimi.

Le modalità di trattamento

Per quanto concerne le modalità di trattamento, il Garante ha, in particolare, disposto che i dati devono essere raccolti presso l’interessato.

Relativamente a tutte le comunicazioni effettuate nei suoi confronti contenenti categorie particolari di dati, è necessario che si utilizzino forme di comunicazione, anche elettroniche, che consentano di individuare l’interessato ovvero un suo delegato.

Sulla stessa linea, laddove si opti per la trasmissione cartacea, i relativi documenti dovranno essere inseriti in plichi chiusi, mantenendo salva la necessità di acquisire la prova della ricezione dell’atto, per esempio mediante la sottoscrizione della ricevuta. Laddove ricorra, poi, l’esigenza di trasmettere i dati in questione a altri uffici/funzioni della medesima struttura organizzativa, si sottolinea come sia opportuno, da un lato, l’inoltro solamente delle informazioni strettamente necessarie allo svolgimento della funzione e, dall’altro, garantire che la ricezione ed il trattamento avvenga esclusivamente da parte dei soli uffici, strutture e personale autorizzati.

Infine, qualora i dati personali, relativi a presenze ed assenze dal servizio, siano messi a disposizione e consultabili da parte di soggetti diversi (ad esempio di altri colleghi), il datore di lavoro è tenuto a non esplicitare in alcun modo, nemmeno per mezzo di acronimi o sigle, le causali dell’assenza, dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (permessi sindacali o dati sanitari).

 

Prescrizioni relative alle diverse categorie di dati

Da ultimo, il Garante, all’art. 1.4 del Provvedimento in oggetto, si sofferma su alcuni specifici casi di trattamento delle diverse categorie di dati. In primis, sul trattamento effettuato nella fase preliminare alle assunzioni, per il quale si evidenzia come i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati possano essere trattati esclusivamente laddove sia giustificato da scopi determinati e legittimi e sia necessario ai fini dell’assegnazione della posizione lavorativa in oggetto [art. 1.4.1, lett. a)].

Inoltre, anche il trattamento di dati effettuato attraverso la ricezione di eventuali questionari predefiniti o l’invio spontaneo di CV da parte dei candidati deve riguardare le sole informazioni strettamente pertinenti alle finalità perseguite, tenendo, altresì, conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti [art. 1.4.1, lett. b)].

Pertanto, nel caso limite di ricezione di un CV contenente dati non necessari, anche particolari che non siano inerenti alla mansione lavorativa, il titolare, come precisato dal Garante, dovrà limitarsi a non utilizzare tali informazioni in luogo di una eliminazione delle stesse.

Con riferimento, invece, al trattamento effettuato nel corso del rapporto di lavoro [art. 1.4.2, lett. a)-c)], il Garante ha specificato che il titolare potrà trattare ulteriori dati particolari per consentire al soggetto interessato di:

  • fruire di permessi in occasione di festività religiose o relativi all’attività politica o sindacale;
  • erogare servizi di mensa;
  • esercitare l’obiezione di coscienza (nei casi previsti dalla legge);
  • fruire dei periodi di aspettativa riconosciuti dalla legge;
  • consentire l’esercizio dei diritti sindacali, compresa la gestione delle trattenute per il versamento delle quote di iscrizione a organizzazioni o associazioni

Infine, gli artt. 1.4.1 e 1.4.2., lett. d), prevedono che i dati genetici non possano essere trattati allo scopo di stabilire l’idoneità professionale di un candidato, neppure con il consenso dell’interessato.


* Articolo realizzato dall’avvocato Federico Serratore con la collaborazione dell’avvocato Mauro Festa e della dottoressa Arianna Angilletta dello studio legale LegalFor.