070103-garante-lavoro Lo scorso 13 dicembre 2006 il Garante per la protezione dei dati personali [1] ha reso noto, attraverso un comunicato stampa, di aver adottato mediante un provvedimento generale [2], le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" (pdf [3], 84 K), documento nel quale sono definite, per la prima volta in un quadro unitario, misure e regole per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro.

Contenuti principali

Nel comunicato stampa [4] che annuncia le linee guida, il Garante stesso ha sottolineato i punti principali delle linee guida:

Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.
Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso
Cartellini identificativi: nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale.
Senza consenso non si possono comunicare informazioni ad associazioni di datori di lavoro, di ex dipendenti o a conoscenti, familiari, parenti. Il consenso è necessario anche per pubblicare informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali. Non si possono invece diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia, adesione ad associazioni.
I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e della durata presunta dell'infermità. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o malattie professionali all'Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata.
Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad "aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente.

Misure di sicurezza

Le linee guida ribadiscono e chiariscono l’importanza dell’adozione delle misure di sicurezza (anche fisiche ed organizzative) quando si trattano dati personali. In particolare:

Dati sanitari. Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali dei dipendenti comunque trattati nell’ambito del rapporto di lavoro, ponendo particolare attenzione all’eventuale natura sensibile dei medesimi. Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell'interessato; ciò, deve trovare attuazione anche con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative.
Formazione degli incaricati. Resta fermo l’obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori apposito personale, specificamente incaricato del trattamento, che “deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori sul luogo di lavoro non potrà mai essere garantito”.
Misure fisiche ed organizzative. Il datore di lavoro deve adottare, tra l’altro, misure organizzative e fisiche idonee a garantire che:

i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni;
le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l’indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati;
siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d’ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali;
sia prevenuta l’acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti
informazioni personali da parte di soggetti non autorizzati;
sia prevenuta l’involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle informazioni.