P. 30/09/1998

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Provvedimento 30 settembre 1998.

Autorizzazione n. 1/1998 al trattamento dei dati sensibili nei rapporti di lavoro.

IL GARANTE

-Vista la legge 31 dicembre 1996 n. 675, e successive modificazioni ed integrazioni, in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;

-Visto, in particolare, l'art. 22, comma 1, della citata legge n. 675/1996, il quale individua come "sensibili" i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

-Rilevato che tali dati possono essere trattati dai soggetti pubblici solo in presenza di un'apposita disposizione di legge che specifichi i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite, senza necessità, pertanto, di un'autorizzazione di questa Autorità;

- Rilevato altresì che, in base ad una disposizione transitoria (art. 41, comma 5, della citata legge n. 675/1996, come modificato dal decreto legislativo 8 maggio 1998 n. 135), i soggetti pubblici possono continuare a trattare i dati "sensibili" previa comunicazione al Garante;

- Considerato che i soggetti privati e gli enti pubblici economici possono trattare tali dati solo previa autorizzazione di questa Autorità e con il consenso scritto degli interessati, e che occorre quindi riferire solo a tali soggetti l'ambito di applicazione delle autorizzazioni, fatta eccezione per il trattamento dei dati idonei a rivelare lo stato di salute da parte degli organismi sanitari pubblici, destinatari di autonomo provvedimento in applicazione dell'art. 23 della legge n. 675/1996;

-Considerato che il Garante può rilasciare le autorizzazioni, anche d'ufficio, nei confronti di singoli titolari o, con provvedimenti generali, di determinate categorie di titolari o di trattamenti (art. 41, comma 7, della legge n. 675/1996, come sostituito dall'art. 4, comma 1, del decreto legislativo 9 maggio 1997 n. 123);

-Vista l'autorizzazione del Garante adottata il 19 novembre 1997 relativa al trattamento dei dati "sensibili" nei rapporti di lavoro, pubblicata nella Gazzetta Ufficiale della Repubblica italiana il 21 novembre 1997 e avente efficacia fino al 30 settembre 1998;

-Rilevato che è all'esame del Parlamento il disegno di legge governativo che prevede il differimento al 31 luglio 1999 del termine per l'esercizio della delega prevista dalla legge n. 676/1996 e che, entro tale data, dovrebbero essere emanati alcuni decreti legislativi per il completamento della disciplina sulla protezione dei dati personali, anche in attuazione delle raccomandazioni adottate in materia dal Consiglio d'Europa;

-Ritenuto opportuno rilasciare nuove autorizzazioni generali e ciò al fine di proseguire l'intento di semplificazione degli adempimenti che la legge n. 675/1996 pone a carico di determinate categorie di titolari, nonchè di assicurare una migliore funzionalità dell'Ufficio del Garante e di armonizzare le prescrizioni da impartire con le autorizzazioni;

- Considerata, quindi, l'opportunità che anche le nuove autorizzazioni generali non rechino disposizioni particolarmente dettagliate in una fase tuttora transitoria stante la prevista adozione di norme integrative e correttive in materia, e ciò allo scopo di evitare che l'attività dei titolari sia soggetta a modifiche sostanziali in un breve periodo di tempo;

-Ritenuto pertanto opportuno rilasciare nuove autorizzazioni provvisorie, in conformità anche a quanto previsto dall'emanando regolamento concernente l'organizzazione e il funzionamento dell'Ufficio di questa Autorità;

-Ritenuta, tuttavia, la necessità che le nuove autorizzazioni prendano an- ch'esse in considerazione le finalità dei trattamenti, le categorie di dati, di interessati e di destinatari della comunicazione e della diffusione, nonchè il periodo di conservazione dei dati stessi, in quanto la disciplina di tali aspetti è prevista dalla legge n. 675/1996 ai fini dell'applicazione delle norme sull'esonero dall'obbligo della notificazione e sulla notificazione semplificata (art. 7, comma 5-quater);

-Considerata la necessità che sia garantito, anche nell'attuale fase transitoria, il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonchè per la dignità delle persone, specie per quanto riguarda la riservatezza e l'identità personale, principi valutati anche sulla base delle raccomandazioni del Consiglio d'Europa;

- Considerato che un ampio numero di trattamenti di dati sensibili è effettuato ai fini dell'adempimento di obblighi contabili, retributivi, previdenziali, assistenziali, fiscali e assicurativi nell'ambito dei rapporti di lavoro, e che è pertanto necessario che tali trattamenti formino oggetto di un'autorizzazio- ne generale ai sensi dell'art. 41, comma 7, della legge n. 675/1996; Autorizza il trattamento dei dati sensibili di cui all'art. 22, comma 1, della legge n. 675/1996, finalizzato alla gestione dei rapporti di lavoro, alle condizioni di seguito indicate:

1) Ambito di applicazione. L'autorizzazione è rilasciata, anche senza richiesta di parte:

a) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associa zioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee ai sensi della, legge 24 giugno 1997 n. 196, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 2, lettere b) e c);

b) ad organismi paritetici e ad altri organismi che gestiscono osservatori in materia di lavoro, previsti da leggi, da regolamenti o da contratti collettivi anche aziendali, ovvero dalla normativa comunitaria. L'autorizzazione riguarda anche l'attività svolta dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate.

2) Interessati ai quali i dati si riferiscono. Il trattamento può riguardare i dati sensibili attinenti:

a) a lavoratori dipendenti, anche se prestatori di lavoro temporaneo o in rapporto di tirocinio, apprendistato e formazione e lavoro, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti

3) e 4), ai relativi familiari e conviventi;

b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari

c) a soggetti che effettuano prestazioni coordinate e continuative o ad altri lavoratori autonomi in rapporto di collaborazione con i soggetti di cui al punto1);

d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti;

e) a persone fisiche che ricoprono cariche sociali nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1) ;

f) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.

3) Finalità del trattamento. Il trattamento dei dati sensibili deve essere necessario:

a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti da leggi, da regolamenti o da contratti collettivi anche aziendali, ovvero dalla normativa comunitaria, in particolare ai fini del rispetto della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonchè in materia fiscale, di tutela della salute, dell'ordine e della sicurezza pubblica;

b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;

c) per il perseguimento delle finalità di salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo;

d) per far valere o difendere un diritto in sede giudiziaria, anche da parte di un terzo, semprechè, qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere sia di rango pari a quello dell'interessato;

e) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attività lavorativa o professionale.

4) Categorie di dati. Il trattamento può avere per oggetto i dati strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), e in particolare:

a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonchè la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza;

b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici (semprechè il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l'organiz- zazione di pubbliche iniziative, nonchè i dati inerenti alle attività o agli incarichi sindacali, ovvero alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;

c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti in riferimento a malattie anche professionali, invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psicofisica a svolgere determinate mansioni o all'appartenenza a categorie protette.

5) Modalità di trattamento. Fermi restando gli obblighi previsti dagli articoli 9, 15 e 17 della legge n. 675/1996, concernenti i requisiti dei dati personali, la sicurezza e i limiti posti ai trattamenti automatizzati volti a definire il profilo o la personalità degli interessati, il trattamento dei dati sensibili deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente correlate agli obblighi, ai compiti o alle finalità di cui al punto 3). Restano inoltre fermi gli obblighi di acquisire il consenso scritto dell'interessato e di informare l'interessato medesimo, in conformità a quanto previsto dagli articoli 10 e 22 della legge n. 675/1996.

6) Conservazione dei dati. Nel quadro del rispetto dell'obbligo previsto dall'art. 9, comma 1, lettera

e), della legge n. 675/1996, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante verifiche periodiche, deve essere verificata costantemente la stretta pertinenza e la non eccedenza dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati.

7) Comunicazione e diffusione dei dati. I dati sensibili possono essere comunicati e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, agenzie di intermediazione, associazioni di datori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell'interessato. Ai sensi dell'art. 23, comma 4, della legge n. 675/1996, i dati idonei a rivelare lo stato di salute possono essere diffusi, solo se necessario per finalità di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia. I dati idonei a rivelare la vita sessuale non possono essere diffusi.