PROVVEDIMENTO 23 novembre 2006 - Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento all'art. 154, comma 1, lettera h);

Esaminate le istanze (segnalazioni, reclami e quesiti) di lavoratori, organizzazioni sindacali ed imprese, pervenute in materia di trattamento di dati personali di lavoratori operanti alle dipendenze di datori di lavoro privati;

Viste le pronunce adottate dall'Autorita' in ordine a specifiche operazioni di trattamento di dati personali effettuate nell'ambito della gestione del rapporto di lavoro, anche a seguito di ricorso degli interessati;

Ritenuta l'opportunita' di procedere alla definizione, in tale contesto, di un quadro unitario di misure ed accorgimenti necessari e opportuni in grado di fornire ulteriori orientamenti utili per i datori di lavoro e i lavoratori in ordine alle operazioni di trattamento di dati personali connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i comportamenti piu' appropriati da adottare;

Rilevata l'esigenza che tale quadro sia riassunto in alcune linee guida, suscettibili di periodico aggiornamento, di cui verra' curata la piu' ampia pubblicita', anche attraverso il sito Internet dell'Autorita' (http://www.garanteprivacy.it);

Ritenuta la necessita' che le misure e gli accorgimenti relativi al trattamento di dati biometrici di cui al punto 4 delle Linee guida di cui al successivo dispositivo siano altresi' oggetto di una prescrizione del Garante ai sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2 del Codice, considerati i maggiori rischi specifici che tale trattamento pone per i diritti e le liberta' fondamentali, nonche' per la dignita' dell'interessato;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

Delibera:

1. di adottare le «Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati», di cui al documento che e' allegato quale parte integrante della presente deliberazione (Allegato 1);

2. di prescrivere ai titolari del trattamento interessati l'adozione delle misure e degli accorgimenti per il trattamento di dati biometrici di cui al punto 4 delle medesime Linee guida, ai sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2, del Codice;

3. che copia del presente provvedimento, unitamente alle menzionate «Linee guida», sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice.

Roma, 23 novembre 2006

Il presidente: Pizzetti

Il relatore: Paissan

Il segretario generale: Buttarelli

Allegato 1

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006) 1. Premessa.

1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati il Garante ravvisa l'esigenza di adottare le presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto, altresi', di precedenti decisioni dell'Autorita'.

Le indicazioni fornite non pregiudicano l'applicazione delle disposizioni di legge o di regolamento che stabiliscono divieti o limiti piu' restrittivi in relazione a taluni settori o a specifici casi di trattamento di dati (articoli 113, 114 e 184, comma 3, del Codice) 1.

1.2. Ambiti considerati. Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei dati, all'informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il diritto d'accesso.

Le operazioni di trattamento riguardano per lo piu':

- dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l'adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi;

- informazioni piu' strettamente connesse allo svolgimento dell'attivita' lavorativa, quali la tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtu' di provvedimenti «ad personam»; l'ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui); l'assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari.

I medesimi dati sono:

- contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte mediante annunci contenenti offerte di lavoro, questa Autorita' si e' gia' pronunciata 2 o nel corso del rapporto di lavoro;

- contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalita' di esecuzione del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali 3;

- resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali. 2. Il rispetto dei principi di protezione dei dati personali.

2.1. Liceita', pertinenza, trasparenza. Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.

In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.

1 Le indicazioni rese tengono altresi' conto, per i profili esaminati, della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo dei Garanti europei, in http://ec.europa.eu/justice home/fsj/privacy/docs/wpdocs/2001/wp48en. pdf e del Code of practice, "Protection of workers' personal data", pubblicato dall'Organizzazione internazionale del lavoro (ILO). 2 Cfr. Provv. 10 gennaio 2002, in http://www.garanteprivacy.it, doc. web n. 1064553.

3 Cfr. Provv. 23 aprile 2002, doc. web n. 1065065.

In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive che il trattamento di dati personali avvenga:

- nel rispetto di principi di necessita' e liceita' e che riguardano la qualita' dei dati (articoli 3 e 11);

- informando preventivamente e adeguatamente gli interessati (art. 13);

- chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (articoli 23, 24, 26 e 43 del Codice);

- rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (articoli 26 e 27 del Codice; cfr., in particolare, l'autorizzazione generale n. 1/2005);

- adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali puo' essere chiamato a rispondere anche civilmente e penalmente (articoli 15, 31 e ss., 167 e 169 del Codice).

2.2. Finalita'. Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, e' lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza).

Alcuni scopi sono altresi' previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali).

Se queste finalita' sono in termini generali lecite, occorre pero' rispettare il principio della compatibilita' tra gli scopi perseguiti (art. 11, comma 1, lettera b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalita' per le quali i medesimi sono stati raccolti. 3. Titolare e responsabile del trattamento.

3.1. Titolare e responsabile. Ai fini della protezione dei dati personali...