Linee guida del Garante privacy in materia di rapporto

Reviews
Shared by: welikeike
Categories
Tags
Stats
views:
1
rating:
not rated
reviews:
0
posted:
7/25/2009
language:
ITALIAN
pages:
0
A ORMATIVA NRTICOLI GUIDA al LAVORO Rapporto di lavoro Linee guida del Garante privacy in materia di rapporto di lavoro Pietro Gremigni * Il Garante della privacy, attraverso una sintesi degli interventi più significativi compiuti in questi ultimi anni, ha emanato una serie di linee guida che dovranno ispirare la gestione dei trattamenti dati personali nell’ambito del rapporto di lavoro a terzi, idonei in particolare a rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici per giustificare assenza dal lavoro o per godere di permessi particolari; 2) dati che nascono in funzione del rapporto di lavoro: il Garante fa l’esempio della tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o parziale, ecc.); la qualifica e il livello professionale, la retribuzione corrisposta; l’ammontare di premi; il tempo di lavoro; ferie e permessi individuali (fruiti o residui); l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari. L’origine di tali dati può provenire dal lavoratore stesso (che li comunica sia in fase di preassuntiva che durante lo svolgimento del rapporto), dal datore di lavoro in forza dell’esecuzione del contratto (busta paga, profili personali, provvedimenti disciplinari ecc.), sia da terzi come le associazioni sindacali. dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; oppure siano anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi. Si deve trattare cioè di informazioni pertinenti e non eccedenti il predetto scopo. S i tratta da questo punto di vista non di disposizioni con forza di legge, ma di una sorta di direttiva sulla complessa materia che intende fornire un punto di riferimento per gli operatori che devono gestire i trattamenti dati nell’ambito del rapporto di lavoro. Sulla questione del trattamento dei dati biometrici invece, data la delicatezza della questione, il Garante ha impartito una vera e propria disposizione prescrittiva la cui inosservanza è in questo caso penalmente sanzionata come abbiamo indicato nel quadro riassuntivo finale. Ambito soggettivo: titolare e responsabile del trattamento Si tratta di uno degli aspetti più delicati della gestione della privacy nel rapporto di lavoro, in quanto, al di là dei casi ordinari, ci possono essere situazioni che in concreto rendono arduo stabilire le figure del titolare del trattamento o dello stesso responsabile. Ricordiamo innanzitutto che per l’art. 4 del Codice della privacy il titolare di un trattamento dati è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, compreso il profilo della sicurezza. Il responsabile è invece la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; tale scelta è facoltativa e la designa- Tipologia dei dati personali dei lavoratori Il primo profilo messo in evidenza dal Garante riguarda la tipologia dei dati trattati, ossia quali sono i dati personali suscettibili di entrare a fare parte nella gestione del rapporto di lavoro. Le linee guida distinguono due tipi di dati personali: 1) dati strettamente inerenti alla persona del lavoratore, quali dati anagrafici, dati biometrici, fotografie e dati sensibili riferiti anche * Consulente aziendale Liceità, pertinenza, trasparenza Innanzitutto il trattamento di tali dati deve essere ispirato, come ogni trattamento, ai principi di liceità, pertinenza, trasparenza. Le predette informazioni di carattere personale possono essere trattate 12 Il Sole 24­Ore Pirola n. 50 ­ 15 dicembre 2006 GUIDA al LAVORO zione deve avvenire con atto specifico anche se non necessariamente per iscritto, mentre l’individuazione analitica dei compiti deve essere formalmente messa per iscritto. Secondo le linee guida, per stabilire chi sia in concreto il titolare occorre verificare chi sia l’effettivo centro di imputazione del rapporto di lavoro, al di là dello schema societario formalmente adottato. Ad esempio, nei Gruppi di imprese le società controllate e collegate, così come le società consorziate nei Consorzi tra cooperative possono delegare la società capogruppo a svolgere gli adempimenti in materia di lavoro e previdenza: tale attività implica la designazione della società capogruppo quale responsabile del trattamento ai sensi dell’art. 29 del Codice. Il rinvio operato dalle linee guida all’art. 1 della legge n. 12/1979 fa pensare che analoga situazione debba verificarsi in presenza di una delega da parte del datore di lavoro al consulente del lavoro nella gestione degli adempimenti in materia di lavoro e previdenza. In pratica per il Garante il consulente del lavoro diventa il responsabile del trattamento dati personali. Il Garante affronta solo in parte questo aspetto (v. punto 7 delle Linee guida), tuttavia una questione operativa molto delicata è legata all’interrogativo su chi debba fare in concreto certi adempimenti (informativa, raccolta consenso ecc.). Perché, se il consulente del lavoro è responsabile del trattamento in quanto è stato designato a svolgere certi adempimenti, deve ad esempio dare l’informativa al lavoratore? Le linee guida si limitano a dire che con particolare riferimento a realtà produttive complesse o che decentrano all’esterno cicli produttivi o amministrativi può rin. 50 ­ 15 dicembre 2006 NORMATIVA ARTICOLI Rapporto di lavoro sultare difficoltoso per il singolo lavoratore esercitare i propri diritti di accesso ai sensi dell’art. 7 del Codice; in tali casi è opportuna la designazione di un responsabile del trattamento appositamente deputato alla trattazione di tali profili. Tornando all’interrogativo che abbiamo posto poc’anzi, la risposta è affermativa se nell’atto di designazione il titolare lo ha espressamente delegato a dare l’informativa. È al contrario negativa se il titolare, nel dare ai lavoratori l’informativa sui dati trattati, ha in questa sede indicato il professionista come responsabile del trattamento esonerandolo implicitamente da tale obbligo. Resta l’ipotesi intermedia che, secondo il nostro giudizio, è la più frequente, in cui il datore di lavoro, nell’informativa trasmessa ai lavoratori, non ha detto alcunché su tale punto e il consulente non sia stato espressamente designato a farlo. In questo caso il lavoratore ha diritto di sapere che i suoi dati sono trattati anche da un professionista il quale, secondo il nostro parere, ha un autonomo dovere di fornire l’informativa, dato che sta comunque trattando dei dati personali. In questa ipotesi noi riteniamo anche che datore di lavoro e consulente siano contitolari del trattamento e tenuti, ciascuno per la parte di propria competenza, a dare corso agli obblighi di legge. tuto superiore prevenzione e sicurezza sul lavoro (Ispesl). Il medico è tenuto a non divulgare il contenuto della cartella sanitaria nemmeno al datore di lavoro, dal momento che quest’ultimo non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l’idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni. Le linee guida indicano il medico come il titolare dei predetti trattamenti con tutte le conseguenze di legge, prima tra tutte, secondo il nostro parere, l’obbligo di permettere l’accesso ai dati contenuti al lavoratore e di variare e modificare i contenuti delle informazioni qualora le stesse non siano corrette. Comunicazione dei dati a terzi La comunicazione consiste nel dare conoscenza di dati personali a uno o più soggetti determinati diversi dal lavoratore interessato. Il Garante esemplifica i casi che comportano la necessità di comunicare i dati ai terzi nel rapporto di lavoro: comunicazione di assunzione, dello status o della qualifica ricoperta, dell’irrogazione di sanzioni disciplinari o del trasferimenti del lavoratore, a terzi quali: - associazioni (anche di categoria) di datori di lavoro; - familiari e parenti; - enti pubblici. In questi casi in linea di massima occorre il consenso del lavoratore, salvo in cui la comunicazione derivi da un obbligo di legge (ad esempio comunicazione di assunzione) oppure quando la comunicazione è frutto di un obbligo derivante dal contratto di lavoro. Tale consenso è necessario soprattutto in relazione alla pubblicazione in «rete» e cioè in intranet aziendali oppure direttamente su Internet di dati personali quali Medico competente Nell’ambito degli obblighi prevenzionali e di sicurezza del lavoratore, il medico competente tratta i dati sanitari del lavoratore sulla base delle visite mediche obbligatorie preassuntive e periodiche. Tali dati sono sostanzialmente contenuti nella cartella sanitaria che il medico deve conservare e consegnare, in caso di cessazione del rapporto, all’IstiIl Sole 24­Ore Pirola 13 A ORMATIVA NRTICOLI GUIDA al LAVORO di comunicazione all’Inail e alla autorità di PS, è tenuto a conoscere la diagnosi. Deve tuttavia limitarsi a comunicare all’ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non pertinente. In altre ipotesi la legge permette al datore di lavoro di conoscere i dati sanitari del lavoratore al fine di consentirgli di fruire di determinati congedi (ad esempio in caso di sottoposizione a cure riabilitative per i tossicodipendenti) oppure dei familiari del lavoratore (come nel caso dei congedi per persone handicappate). Tutti questi dati devono essere trattati nel rispetto del principio di pertinenza e cioè al solo limitato scopo di dare corso ai benefici di legge per i lavoratori stessi. in modo tale da permettere la gestione dei dati personali nell’assoluto rispetto della privacy; occorre proteggere gli uffici interessati da indebite intrusioni, impedire che le comunicazioni scritte o verbali o telematiche dei dati vengano apprese da terzi anche involontariamente. Ciò potrà realizzarsi attraverso accorgimenti logistici o informatici tali da impedire le possibilità di divulgazione indebita dei dati. Rapporto di lavoro fotografie, informazioni anagrafiche o curricula. Diffusione di dati In generale e salvo che non sia previsto da una specifica norma di legge o contrattuale, la diffusione indiscriminata a terzi di dati del lavoratore (ad esempio indicazione nelle bacheche aziendali di compensi percepiti, di sanzioni comminate, di situazioni di assenza ecc.) non è ammessa ed è vietata dal Codice della privacy. Anche il caso dei cartellini identificativi apposti sugli indumenti di lavoro rientra in questa ipotesi. Il Garante ne ammette l’utilizzazione in vista della maggiore soddisfazione della clientela (si pensi all’ipotesi degli addetti dei grandi magazzini a cui il cliente intende rivolgersi per reclami o chiarimenti), ma limitando l’esposizione del dato solo al nome, oppure ad un codice senza l’indicazione di altri dati. Diverso è il caso, anche se non affrontato dalle linee guida, del cartellino di riconoscimento nei cantieri edili, in quanto l’esposizione è in questo caso obbligatoria per legge (art. 36-bis, legge n. 248/2006). Diritto di accesso del lavoratore e obbligo di riscontro Il lavoratore ha diritto di accedere ai dati che lo riguardano, di ottenerne l’aggiornamento, la rettificazione, l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco. Il datore di lavoro per contro deve dare riscontro completo alla richiesta entro 15 giorni dal ricevimento della domanda, oppure entro 30 giorni in caso di complessità della ricerca. Il riscontro può essere anche fornito verbalmente ma, se il lavoratore lo richiede, deve essere offerto su supporto cartaceo o informatico. Sicurezza dei dati Le linee guida si soffermano su tre aspetti poco considerati a riguardo, ma che fanno invece parte della gestione quotidiana di certi dati personali: 1) dati sanitari: soprattutto nelle gestioni cartacee di tali dati il datore di lavoro deve conservarli separatamente da ogni altro dato personale dell’interessato, anche con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati sensibili); 2) incaricati: il personale addetto al trattamento dei dati degli altri dipendenti deve non solo mantenere la riservatezza sugli stessi, ma deve essere istruito dal datore di lavoro circa gli adempimenti connessi alla legge sulla privacy e in tal senso oggetto di appositi corsi formativi; 3) organizzare i luoghi di lavoro Il Sole 24­Ore Pirola Dati sanitari L’aspetto preponderante riguarda la gestione delle assenze del lavoratore a causa di malattia. In presenza di uno stato di malattia riconosciuto dal medico, il lavoratore ha l’obbligo di consegnare l’attestato di malattia al datore di lavoro con la sola indicazione dell’inizio e della durata presunta dell’infermità (cd. «prognosi») e il certificato di diagnosi all’Inps. Il datore di lavoro ha la possibilità di trattare tali dati, fermo restando l’obbligo di non diffonderli a terzi e di comunicarli solo nei casi previsti dalla legge. Nell’ipotesi di infortunio, invece, il datore di lavoro, al fine di provvedere ai successivi obblighi Dati biometrici Si tratta di dati personali ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento. In pratica attraverso alcune caratteristiche della persona è possibile risalire all’identificazione della stessa. I dati biometrici più frequenti sono quelli in grado di «tracciare» la voce, la conformazione della mano, le impronte digitali, il riconoscimento dell’iride nonché una combinazione tra più fattori. L’uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. L’utilizzo di dati biometrici può n. 50 ­ 15 dicembre 2006 14 GUIDA al LAVORO NORMATIVA Rapporto di lavoro Trattamento dati biometrici (rilevazione impronte digitali, riconoscimento della voce o dell’iride ecc.) Il Garante prescrive di adottare certi accorgimenti per poter trattare tali dati (art. 17, Dlgs n. 196/2003) In caso di inosservanza della prescrizione (art. 167, comma 2, Dlgs n. 196/2003) ê 1) Vietato l’uso generalizzato e indiscriminato 2) Ammesso l’uso di dati biometrici in casi specifici (processi a rischio; accesso ad aree riservate) 3) Consenso del lavoratore 4) Utilizzo di supporti di controllo non centralizzati 5) Impartire specifiche istruzioni sia ai lavoratori interessati che agli incaricati ê Il datore di lavoro è punito con la reclusione da 1 a 3 anni se dal fatto deriva un danno, salvo che il fatto stesso costituisca un reato più grave essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati. È ammissibile il ricorso a dati biometrici, ad esempio, per presidiare accessi ad «aree sensibili», considerata la natura delle attività svolte: il Garante fa l’esempio di processi produttivi pericolosi o sottoposti a segreti di varia natura o al fatto che particolari locali siano destinati alla custodia di beni, documenti segreti o riservati o oggetti di valore. Anche nei casi di necessità il Garante raccomanda tuttavia di evitare la centralizzazione di tali dati in un archivio generale, essendo sufficiente avvalersi di sistemi efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite un supporto posto nell’esclusiva disponibilità dell’interessato (come una smart card o un dispositivo analogo). Ciò permette di confrontare le impronte digitali con quanto memorizzato sulla smart card, che rimane nella disponibilità del lavoratore, ed evita la costituzione di un archivio centrale più facilmente soggetto al rischio di intrusioni e contraffazioni. Per l’utilizzo dei dati biometrici occorre acquisire comunque il consenso del lavoratore. Dal punto di vista della sicurezza dei dati in aggiunta alle misure di sicurezza minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a protezione dei dati, impartendo agli incaricati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle carte o dispositivi affidati.

Related docs
Linee guida di comunicazione per l'introduzione dell'EURO_2_
Views: 6  |  Downloads: 0
DOCUMENTO DI PROGRAMMAZIONE ECONOMICO FINANZIARIA III LE LINEE GUIDA
Views: 10  |  Downloads: 0
LINEE GUIDA PER UN NUOVO
Views: 3  |  Downloads: 0
Linee guida di comunicazione per l'introduzione dell'EURO_3_
Views: 12  |  Downloads: 0
Guida al D.Lgs. 231/2001
Views: 630  |  Downloads: 0
CAPITOLO 1 - OBIETTIVI DELLE LINEE GUIDA
Views: 0  |  Downloads: 0
LINEE GUIDA PREDISPOSIZIONE DEL PIANO AZIENDALE - BUSINESS PLAN
Views: 5  |  Downloads: 2
Linee guida di comunicazione per l'introduzione dell'EURO
Views: 9  |  Downloads: 0
BREVE GUIDA PER L UTILIZZO DEL CREDITO AL CONSUMO
Views: 17  |  Downloads: 0
La nuova legge sulla sicurezza sul lavoro linee guida
Views: 2  |  Downloads: 1
Linee guida per il trattamento contabile e l'informativa concernenti i crediti, Luglio 1999
Views: 11  |  Downloads: 0
Linee guida per il primo anno della Scuola di
Views: 16  |  Downloads: 0
Linee guida concernenti il trattamento contabile dei crediti, l'informativa sul rischio di credito e le problematiche connesse, ottobre 1998
Views: 14  |  Downloads: 0
premium docs
Perfect Competition and Its Impact on business$131.40
Case Study in Gender and Family Health$43.80
Coca Cola Marketing Mix$76.65
Chemistry Comes Alive - Quick Review$2.00
Human Skeletal System - Quick Review$2.00
Lab Techniques: Introduction to Organic Chemistry$2.25
Fifteen Amendments Impact and Influence$65.70
Other docs by welikeike
New York certificate of incorporation
Views: 302  |  Downloads: 1
CAH-HIT-Briefing-Paper
Views: 175  |  Downloads: 3
Oakland NoticeToTenants
Views: 207  |  Downloads: 2
Transcript of 16th Amendment to the US Constitution Federal Income Tax
Views: 233  |  Downloads: 0
Express company receipt
Views: 145  |  Downloads: 0
Agency to sell business
Views: 219  |  Downloads: 2
ALegal Lines _ Terms
Views: 118  |  Downloads: 0
Foreign applications
Views: 218  |  Downloads: 3
Agreements for dissolution of partnership
Views: 509  |  Downloads: 28
Covenant Not to Compete
Views: 399  |  Downloads: 14
Morrill Act info
Views: 235  |  Downloads: 0
ALegal Lines _ Terms[1]
Views: 120  |  Downloads: 0
Affidavit that there are no creditors
Views: 187  |  Downloads: 1
Assignment of rents
Views: 321  |  Downloads: 3
President Franklin Roosevelts Annual Message Four Freedoms info
Views: 171  |  Downloads: 0