GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 23 novembre 2006 | Chimici.info

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 23 novembre 2006

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - PROVVEDIMENTO 23 novembre 2006 - Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati. (GU n. 285 del 7-12-2006)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 23 novembre 2006

Linee guida in materia di trattamento di dati personali di lavoratori
per finalita’ di gestione del rapporto di lavoro alle dipendenze di
datori di lavoro privati.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali), con particolare
riferimento all’art. 154, comma 1, lettera h);
Esaminate le istanze (segnalazioni, reclami e quesiti) di
lavoratori, organizzazioni sindacali ed imprese, pervenute in materia
di trattamento di dati personali di lavoratori operanti alle
dipendenze di datori di lavoro privati;
Viste le pronunce adottate dall’Autorita’ in ordine a specifiche
operazioni di trattamento di dati personali effettuate nell’ambito
della gestione del rapporto di lavoro, anche a seguito di ricorso
degli interessati;
Ritenuta l’opportunita’ di procedere alla definizione, in tale
contesto, di un quadro unitario di misure ed accorgimenti necessari e
opportuni in grado di fornire ulteriori orientamenti utili per i
datori di lavoro e i lavoratori in ordine alle operazioni di
trattamento di dati personali connesse alla gestione del rapporto di
lavoro, individuando, a tal fine, i comportamenti piu’ appropriati da
adottare;
Rilevata l’esigenza che tale quadro sia riassunto in alcune linee
guida, suscettibili di periodico aggiornamento, di cui verra’ curata
la piu’ ampia pubblicita’, anche attraverso il sito Internet
dell’Autorita’ (http://www.garanteprivacy.it);
Ritenuta la necessita’ che le misure e gli accorgimenti relativi al
trattamento di dati biometrici di cui al punto 4 delle Linee guida di
cui al successivo dispositivo siano altresi’ oggetto di una
prescrizione del Garante ai sensi degli articoli 17, 154, comma 1,
lettera c) e 167, comma 2 del Codice, considerati i maggiori rischi
specifici che tale trattamento pone per i diritti e le liberta’
fondamentali, nonche’ per la dignita’ dell’interessato;
Viste le osservazioni formulate dal segretario generale ai sensi
dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Delibera:

1. di adottare le «Linee guida in materia di trattamento di dati
personali di lavoratori per finalita’ di gestione del rapporto di
lavoro alle dipendenze di datori di lavoro privati», di cui al
documento che e’ allegato quale parte integrante della presente
deliberazione (Allegato 1);
2. di prescrivere ai titolari del trattamento interessati
l’adozione delle misure e degli accorgimenti per il trattamento di
dati biometrici di cui al punto 4 delle medesime Linee guida, ai
sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma 2, del
Codice;
3. che copia del presente provvedimento, unitamente alle
menzionate «Linee guida», sia trasmessa al Ministero della
giustizia-Ufficio pubblicazione leggi e decreti, per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai
sensi dell’art. 143, comma 2, del Codice.
Roma, 23 novembre 2006
Il presidente: Pizzetti

Il relatore: Paissan

Il segretario generale: Buttarelli

Allegato 1

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Linee guida in materia di trattamento di dati personali di lavoratori
per finalita’ di gestione del rapporto di lavoro alle dipendenze di
datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006)
1. Premessa.
1.1. Scopo delle linee guida. Per fornire indicazioni e
raccomandazioni con riguardo alle operazioni di trattamento
effettuate con dati personali (anche sensibili) di lavoratori
operanti alle dipendenze di datori di lavoro privati il Garante
ravvisa l’esigenza di adottare le presenti linee guida, suscettibili
di periodico aggiornamento, nelle quali si tiene conto, altresi’, di
precedenti decisioni dell’Autorita’.
Le indicazioni fornite non pregiudicano l’applicazione delle
disposizioni di legge o di regolamento che stabiliscono divieti o
limiti piu’ restrittivi in relazione a taluni settori o a specifici
casi di trattamento di dati (articoli 113, 114 e 184, comma 3, del
Codice) 1.
1.2. Ambiti considerati. Le tematiche prese in considerazione si
riferiscono prevalentemente alla comunicazione e alla diffusione dei
dati, all’informativa che il datore di lavoro deve rendere ai
lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato
di salute e il diritto d’accesso.
Le operazioni di trattamento riguardano per lo piu’:
– dati anagrafici di lavoratori (assunti o cessati dal
servizio), dati biometrici, fotografie e dati sensibili riferiti
anche a terzi, idonei in particolare a rivelare il credo religioso o
l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di
regola contenuti in certificati medici o in altra documentazione
prodotta per giustificare le assenze dal lavoro o per fruire di
particolari permessi e benefici previsti anche nei contratti
collettivi;
– informazioni piu’ strettamente connesse allo svolgimento
dell’attivita’ lavorativa, quali la tipologia del contratto (a tempo
determinato o indeterminato, a tempo pieno o parziale, etc.); la
qualifica e il livello professionale, la retribuzione individuale
corrisposta anche in virtu’ di provvedimenti «ad personam»;
l’ammontare di premi; il tempo di lavoro anche straordinario; ferie e
permessi individuali (fruiti o residui); l’assenza dal servizio nei
casi previsti dalla legge o dai contratti anche collettivi di lavoro;
trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti
disciplinari.
I medesimi dati sono:
– contenuti in atti e documenti prodotti dai lavoratori in sede
di assunzione (rispetto ai quali, con riferimento alle informazioni
raccolte mediante annunci contenenti offerte di lavoro, questa
Autorita’ si e’ gia’ pronunciata 2 o nel corso del rapporto di
lavoro;
– contenuti in documenti e/o file elaborati dal (o per conto
del) datore di lavoro in pendenza del rapporto di lavoro per
finalita’ di esecuzione del contratto e successivamente raccolti e
conservati in fascicoli personali, archivi cartacei o elettronici
aziendali 3;
– resi disponibili in albi e bacheche o, ancora, nelle intranet
aziendali.
2. Il rispetto dei principi di protezione dei dati personali.
2.1. Liceita’, pertinenza, trasparenza. Le predette informazioni
di carattere personale possono essere trattate dal datore di lavoro
nella misura in cui siano necessarie per dare corretta esecuzione al
rapporto di lavoro; talvolta, sono anche indispensabili per attuare
previsioni contenute in leggi, regolamenti, contratti e accordi
collettivi.
In ogni caso, deve trattarsi di informazioni pertinenti e non
eccedenti e devono essere osservate tutte le disposizioni della
vigente disciplina in materia di protezione dei dati personali che
trae origine anche da direttive comunitarie.
1 Le indicazioni rese tengono altresi’ conto, per i profili
esaminati, della Raccomandazione n. R (89) 2 del Consiglio d’Europa
relativa alla protezione dei dati a carattere personale utilizzati ai
fini dell’occupazione, del Parere 8/2001 sul trattamento dei dati
personali nel contesto dell’occupazione, reso il 13 settembre 2001
dal Gruppo dei Garanti europei, in
http://ec.europa.eu/justice home/fsj/privacy/docs/wpdocs/2001/wp48en.
pdf e del Code of practice, “Protection of workers’ personal data”,
pubblicato dall’Organizzazione internazionale del lavoro (ILO). 2
Cfr. Provv. 10 gennaio 2002, in http://www.garanteprivacy.it, doc.
web n. 1064553.
3 Cfr. Provv. 23 aprile 2002, doc. web n. 1065065.
In particolare, il Codice in materia di protezione dei dati
personali (Codice), in attuazione delle direttive 95/46/Ce e
2002/58/Ce, prescrive che il trattamento di dati personali avvenga:
– nel rispetto di principi di necessita’ e liceita’ e che
riguardano la qualita’ dei dati (articoli 3 e 11);
– informando preventivamente e adeguatamente gli interessati
(art. 13);
– chiedendo preventivamente il consenso solo quando, anche a
seconda della natura dei dati, non sia corretto avvalersi di uno
degli altri presupposti equipollenti al consenso (articoli 23, 24, 26
e 43 del Codice);
– rispettando, se si trattano dati sensibili o giudiziari, le
prescrizioni impartite dal Garante nelle autorizzazioni anche di
carattere generale rilasciate (articoli 26 e 27 del Codice; cfr., in
particolare, l’autorizzazione generale n. 1/2005);
– adottando le misure di sicurezza idonee a preservare i dati
da alcuni eventi tra i quali accessi ed utilizzazioni indebite,
rispetto ai quali puo’ essere chiamato a rispondere anche civilmente
e penalmente (articoli 15, 31 e ss., 167 e 169 del Codice).
2.2. Finalita’. Il trattamento di dati personali riferibili a
singoli lavoratori, anche sensibili, e’ lecito, se finalizzato ad
assolvere obblighi derivanti dal contratto individuale (ad esempio,

[Continua nel file zip allegato]

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – PROVVEDIMENTO 23 novembre 2006

Chimici.info