L’Autorità garante individua gli obblighi a carico dei datori di lavoro, in linea con il Gdpr
Per i dati particolari va rispettata l’indispensabilità
Pagina a cura di Antonio Ciccia Messina
Scarica il pdf
Stop al racconto di tutta la propria vita nel curriculum inviato per trovare un lavoro. Il datore di lavoro non può trattare i dati, soprattutto quelli sensibili, che non c’entrano nulla con la posizione professionale. L’attenzione all’uso delle informazioni strettamente necessarie deve essere osservata sia prima dell’assunzione sia durante lo sviluppo del rapporto di lavoro: per esempio le comunicazioni dirette al singolo non devono passare «aperte» di mano in mano o di e-mail in e-mail. Tutte queste precauzioni sono dettate dal provvedimento del Garante della privacy n. 146 del 5 giugno 2019, recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’articolo 21, comma 1 del dlgs n. 101/2018 (pubblicato sulla Gazzetta Ufficiale n. 176 del 29 luglio 2019), e in dettaglio nella parte di questo provvedimento dedicata alle prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro.
In generale, il datore di lavoro (come tutti gli altri enti che trattano dati dei lavoratori) è un titolare del trattamento. Come tale si trova a trattare tanti tipi di dati, tra cui i dati «particolari», e cioè i dati sensibili (sesso, salute, religione, filosofia, sindacato, politica, razza, etnia), i dati genetici e i dati biometrici. Per essere in regola a riguardo dei dati «particolari», in aggiunta a tutte le altre disposizioni, norme e precauzioni sulla protezione dei dati, il datore di lavoro e gli altri enti che trattano dati dei lavoratori devono rispettare il sopra citato provvedimento, a pena di gravi sanzioni pecuniarie amministrative.
Sotto il regime del codice della privacy (dlgs 196/2003), c’era già qualcosa di simile (si chiamava «autorizzazione generale al trattamento dei dati sensibili) e le disposizioni, revisionate e aggiornate, sono ora traghettate sulla sponda del regolamento Ue sulla protezione dei dati n. 2016/679 (noto come Gdpr).
La prima cosa da osservare è che le regole (riferite dalla tabella in pagina) sono da osservare scrupolosamente sia da parte dei datori di lavoro privati sia da parte dei datori di lavoro pubblici. È un aspetto che deriva dall’impostazione europea da parte dei datori di lavoro ed è bene che le pubbliche amministrazioni ne prendano atto. Gli enti pubblici devono inserire un riferimento alle prescrizioni in esame nei loro atti e documenti riferiti al loro sistema privacy interno, ma soprattutto devono adeguare le loro prassi a queste regole; d’altra parte le sanzioni per il mancato rispetto delle prescrizioni si applicano anche agli enti pubblici.
In proposito va segnalato che l’articolo 21 del dlgs 101/2018 ha previsto per la violazione del provvedimento in esame la sanzione prevista dall’articolo 83, comma 5, del regolamento Ue sulla protezione dei dati n. 2016/679 e, cioè, fino a 20 milioni oppure, per le imprese, fino al 4% del fatturato totale mondiale annuo (se superiore).
Passando al contenuto delle prescrizioni, se si volesse individuare un filo conduttore, questo sarebbe intitolato alla «indispensabilità». Il datore e gli altri enti obbligati non devono strafare e devono avere sempre una solida giustificazione per trattare dati così delicati, come i dati «particolari». Più precario è il caso in cui l’indispensabilità deve essere valutata dallo stesso datore di lavoro, perché bisogna applicare una norma che lascia spazio alla sua discrezionalità e, in tal caso, è meglio che scriva a priori regole e linee guida in terne per gli uffici del personale.
Si è detto che il provvedimento è figlio del movimento legislativo europeo sulla privacy; bisogna aggiungere che il Gdpr si innesta (in posizione privilegiata e prioritaria, certo) in un ordinamento dei rapporti di lavoro, quello italiano, che ha già norme a protezione dei lavoratori, della propria dignità e dei propri dati personali. Pertanto le prescrizioni del garante devono applicarsi contestualmente alle disposizioni della legge 300/1970, e in particolare alle norme sul divieto di trattare dati con effetto discriminatorio.
© Riproduzione riservata
Fonte:
