In più circostanze, anche ricorrendo al procedimento previsto dall'art. 17 del Codice, è stato prospettato al Garante l'utilizzo di sistemi di rilevamento di dati biometrici sul luogo di lavoro, con particolare riferimento all'impiego di tali informazioni per accedere ad aree specifiche dell'impresa.
Esistono realtà aziendali (aree a rischio, centri di ricerca e sviluppo, centrali operative di vigilanza, sale conteggio e movimentazione valori) che necessitano di particolari cautele e giustificano, pertanto, l'utilizzo di tali dispositivi.
I casi pervenuti all'attenzione del Garante riguardano soprattutto lettori di impronte digitali, sovente associati a dispositivi di videosorveglianza, con o senza memorizzazione e abbinamento delle rilevazioni.
L'Autorità ha giustamente chiarito che l'utilizzo di dati biometrici può essere giustificato da circostanze e condizioni di lavoro particolari, a garanzia dell'incolumità dello stesso lavoratore o a tutela del patrimonio aziendale, ma, in ogni caso, deve essere pertinente e non eccedente rispetto al concreto interesse da perseguire, che deve ogni volta essere adeguatamente e chiaramente evidenziato.
È stato ritenuto ammissibile, ad esempio, un sistema di rilevamento delle impronte digitali associato a una tecnica di memorizzazione anonima su una smart card.
Poiché l'apparato resta in dotazione al dipendente, senza centralizzazione su database, lo stesso interessato è in possesso del dato biometrico che lo riguarda (che, tuttavia, è trattato in forma anonima sul dispositivo, e, quindi, anche in caso di smarrimento risulta inutilizzabile), mentre l'associazione tra impronta digitale e funzione matematica di rappresentazione della stessa, da parte del titolare, avviene solo in fase di autenticazione, senza conservazione alcuna, essendo la sicurezza del dispositivo demandata allo stesso interessato (ovviamente, il badge non deve essere agevolmente riconducibile all'interessato).
Tale modalità di riconoscimento è idonea ad assicurare che possano accedere all'area riservata solo i soggetti preventivamente autorizzati, evitando così la costituzione di un archivio di delicati dati biometrici (che, peraltro, impone l'obbligo di notifica al garante ex art. 37, D.Lgs. 196/2003, mentre, in questo caso, sarebbe sufficiente una richiesta preventiva di autorizzazione ex art. 17).
Del resto, in caso di smarrimento della carta o del dispositivo, le possibilità di uso illecito dei dati sono circoscritte a quello specifico dispositivo (anziché a un intero database), che può essere facilmente disattivato, per impedire una successiva procedura di identificazione, e dal quale, pur violando le misure di sicurezza poste a tutela del dato biometrico, è difficile trarre informazioni che consentano di identificare direttamente l'interessato (la smart card non contiene la digitalizzazione dell'impronta digitale, ma la sua rappresentazione matematica, dalla quale, per il principio di fattorizzazione dei numeri primi, trattandosi del risultato di un algoritmo di cifratura, è difficile, se non impossibile, risalire all'originale).
Titolare del trattamento resta ovviamente l'azienda, che deve informare il dipendente delle modalità di trattamento dei dati, acquisire il relativo consenso, e garantirne la sicurezza.
I dati raccolti non possono essere di regola conservati per un arco di tempo superiore a sette giorni e vanno assicurati, anche quando tale arco temporale possa essere lecitamente protratto, idonei meccanismi di cancellazione automatica dei dati.
Trattandosi di operazioni che presentano rischi particolari per i diritti degli interessati, è sempre opportuno richiedere l'interpello preventivo dell'Autorità Garante per la Privacy ai sensi dell'art. 17, D.Lgs. 196/2003, anche al fine di apportare quei correttivi che l'Ufficio vorrà prescrivere, ove necessario, al fine di aumentare le garanzie a tutela dei cittadini.
I dati sanitari
Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore e, segnatamente, di quelli idonei a rivelarne lo stato di salute.
È normalmente superflua la specificazione, nei certificati medici, della patologia di cui soffre il lavoratore, ben potendo la definizione “patologia acuta in atto” - o altre similari - assolvere al generale obbligo di documentare la ragione dell'assenza dal lavoro per motivi di salute.
Tuttavia, determinate normative di settore giustificano il trattamento dei dati relativi ai casi di infermità (e talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che determini un'incapacità lavorativa (temporanea o definitiva, con la conseguente sospensione o risoluzione del contratto).
Il datore di lavoro, inoltre, può dover trattare dati relativi a invalidità o all'appartenenza a categorie protette, sia per l'applicazione dei benefici di legge, che per l'adeguamento dei luoghi di lavoro, in termini di accessibilità e usabilità degli strumenti, che per altri adempimenti comunque direttamente connessi all'handicap dell'interessato.
A tale riguardo, infatti, sussiste un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della condizione di malattia: obblighi funzionali non solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di legge, di verificare le reali condizioni di salute del dipendente.
Per attuare tali obblighi viene utilizzata un'apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro - con la sola indicazione dell'inizio e della durata presunta dell'infermità - e in un certificato di diagnosi da consegnare, a cura del lavoratore stesso, alla struttura pubblica preposta al controllo e all'erogazione dei benefici di legge (INPS o altro)
I dati prodotti in eccesso (derivanti, ad esempio, da modulistica diversa da quella descritta, che riporti informazioni non necessarie al trattamento), devono essere oscurati a cura del datore di lavoro
Il provvedimento del Garante dedica il paragrafo 6.3 alle denunce da inoltrare all'Inail, aventi ad oggetto infortuni e malattie professionali occorsi ai lavoratori; esse, infatti, per espressa previsione normativa, devono essere corredate da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).
In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l'obbligo di limitarsi a comunicare all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata, e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non pertinente rispetto alla finalità richiamata.
È altresì legittima la comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che il datore di lavoro faccia ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennità in adempimento a specifici obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni indispensabili a tali fini.
In particolare, il datore di lavoro può comunicare all'Istituto Nazionale della Previdenza Sociale (INPS) i dati del dipendente assente, anche per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, l. 20 maggio 1970, n. 300)
A tali fattispecie devono essere aggiunti i casi nei quali può, parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore e dei suoi familiari, anche al fine di permettergli di godere dei benefici di legge.
Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, d.P.R. n. 309/1990).
Informativa e misure di sicurezza
Al fine di dare effettiva attuazione alle disposizioni del codice - ed evitare che il richiamo all'art. 7, riguardante i diritti del lavoratore e le modalità di loro esercizio, resti lettera morta, il datore di lavoro deve individualizzare, ove possibile, l'informativa da consegnare al lavoratore, soprattutto nell'ipotesi di una grande realtà aziendale, articolata sul territorio o fortemente dipendente dall'outsourcing
In tal caso è opportuno designare, quale responsabile, un soggetto facilmente reperibile o appositamente delegato al trattamento dei dati dei lavoratori, evitando di affidare incarichi solo formali e indicando chiaramente nell'informativa i recapiti del soggetto preposto al rapporto con i dipendenti.
Ciò, peraltro, nel rispetto dei criteri generali di cui all'art. 13.
Risulterebbe auspicabile dare attuazione ai suggerimenti del Garante ove indica l'opportunità di delegare ai responsabili il controllo di ogni adempimento riferibile all'incaricato del trattamento, affinché sia il soggetto preposto materialmente al controllo dell'unità organizzativa aziendale a dare concreta attuazione alle direttive generali della direzione, personalizzando non solo le informative, ma tutti i documenti e le procedure in funzione del rapporto con i propri sottoposti e compatibilmente con le esigenze degli stessi e dell'azienda.
Com'è noto, il trattamento dei dati del lavoratore comporta, per sua natura, la gestione di molte informazioni di natura sensibile e, in particolare, di dati di natura sanitaria.
Il Garante consiglia di conservare tali informazioni, raramente necessarie agli adempimenti quotidiani connessi al rapporto di lavoro, separatamente dagli altri dati personali, al fine di non consentirne una indistinta consultazione nel corso delle ordinarie attività amministrative.
È, quindi, opportuno, per i dati di tipo informatico, restringere i criteri di accesso alle informazioni in ragione della funzione rivestita in azienda dai dipendenti che hanno accesso ai dati dei colleghi (è inutile, ad esempio, che gli addetti alla contabilità accedano ai certificati medici, mentre è indispensabile che lo faccia l'ufficio del personale).
Per i dati di tipo cartaceo è necessario distinguere fisicamente il fascicolo amministrativo dalla documentazione medica - e ciò non mancherà di creare inconvenienti di natura logistica, essendo indispensabile duplicare gli archivi o, quantomeno, adottare fascicoli a più compartimenti, che consentano di distinguere ictu oculi la documentazione sanitaria da quella ordinaria, tenendo la prima sigillata o comunque riservata.
La formazione del personale
A prescindere dalle misure di sicurezza adottate, risulta evidente che nella gestione dei dati sensibili è di particolare importanza la formazione del personale che, oltre a essere un obbligo normativo per il datore di lavoro, è l'unico vero strumento in grado di assicurare una corretta gestione delle informazioni in ambito aziendale, e non solo in relazione al trattamento di dati personali, ma anche a tutela della proprietà intellettuale, e industriale.
Ciascun dipendente, responsabile o incaricato del trattamento deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione adeguata al ruolo rivestito in azienda
Il datore di lavoro deve adottare, inoltre, misure organizzative e fisiche idonee a garantire che:
• i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni
• le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l'indebita presa di conoscenza da parte di terzi o di soggetti non designati quali incaricati
• siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali
• sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati
• sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti
Se il dipendente è adeguatamente informato delle procedure e misure di sicurezza aziendali, è certamente più difficile che ponga in essere comportamenti sconsiderati, dovendosi, in tal deprecabile caso, propendere per una volontaria negligenza e imprudenza, ovvero per una sconsiderata consapevolezza della illiceità del comportamento, che potrebbe anche legittimare una risoluzione del rapporto di lavoro per giusta causa, venendo ad essere seriamente compromesso il rapporto fiduciario con l'azienda.
Anche per tale ragione risultano importanti le periodiche sessioni di aggiornamento professionale, soprattutto se con consulenti esterni ed esperti di chiara fama, sia per richiamare l'attenzione su procedure e norme che potrebbero essere dimenticate, che per condurre una costante opera di responsabilizzazione del dipendente, preludio di un ottimo rapporto lavorativo.
Ovviamente, la gratificazione del dipendente non può passare solo attraverso la formazione professionale, ma deve necessariamente essere garantita da altri elementi, non solo di natura economica.
Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro
I lavoratori interessati devono poter esercitare, nei confronti del datore di lavoro, i diritti previsti dall'art. 7 e seguenti del Codice, e accedere ai dati che li riguardano, ottenerne la l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il blocco se trattati in violazione di legge, opponendosi, eventualmente, al trattamento per motivi legittimi.
La richiesta di accesso che non faccia riferimento a un particolare trattamento o a specifici dati o categorie di dati deve ritenersi riferita a tutti i dati personali che riguardano il lavoratore e può riguardare anche informazioni di tipo valutativo, alle condizioni e nei limiti di cui all'art. 8, comma 5.
Tra essi non rientrano le notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a persone identificate o identificabili.
Il riscontro da parte del datore di lavoro deve essere tempestivo ed esauriente, e non limitarsi ad una mera risposta di stile; deve, inoltre, essere effettuato entro 15 giorni dall'istanza dell'interessato. Tale termine può essere esteso a trenta giorni, ricorrendone giustificato motivo e previa comunicazione del ritardo al lavoratore
Pertanto, il datore di lavoro, specie nelle realtà produttive di grandi dimensioni, dovrà dotarsi di procedure organizzative e flussi documentali adeguati a dare tempestivo riscontro alle esigenze dell'interessato, anche attraverso l'impiego di appositi programmi, dato che ormai la maggioranza delle informazioni vengono gestite tramite strumenti informatici.
Il riscontro può essere fornito anche oralmente, ma è sconsigliabile il ricorso a tale forma di comunicazione, non essendo idonea a supportare l'azienda sul piano probatorio in caso di contenzioso.
In presenza di una specifica istanza, il datore di lavoro è tenuto a trasporre i dati su supporto cartaceo o informatico o a trasmetterli all'interessato per via telematica.
Come più volte indicato dal Garante, l'esercizio del diritto di accesso consente di ottenere solo la comunicazione dei dati personali relativi al richiedente, mentre non permette di richiedere il diretto e illimitato accesso a documenti e a intere tipologie di atti, o la creazione di documenti allo stato inesistenti negli archivi, o la loro innovativa aggregazione secondo specifiche modalità prospettate dall'interessato.
Anche la facoltà di ottenere copia dei documenti detenuti deve essere giustificata, legittima e può comportare il rimborso delle spese sostenute dal datore di lavoro per l'adempimento.
Nel caso in cui l'obiettiva difficoltà di adempiere, da parte del datore di lavoro, dovesse risultare motivata dalla mole di dati da trattare o dalla indeterminatezza o scarsa chiarezza delle richieste dell'interessato, l'azienda ha facoltà di mettere a disposizione del dipendente l'intero fascicolo, dal quale successivamente potranno essere estratte le informazioni necessarie.
Nel fornire riscontro a una richiesta di accesso formulata ai sensi degli artt. 7 e 8 del Codice, il titolare del trattamento deve, poi, comunicare quali siano i dati effettivamente detenuti rispetto a quelli richiesti, e non è tenuto a ricercare o raccogliere altri dati che non siano nella propria disponibilità e non siano oggetto, in alcuna forma, di attuale trattamento, o perché originariamente trattati e non più disponibili, ovvero perché, come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un determinato datore di lavoro, non siano mai stati nell'effettiva e libera disponibilità di quest'ultimo (si pensi al caso di dati contenuti nella corrispondenza intercorsa tra dipendenti).
In ordine, poi, all'eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima può avvenire solo in presenza della prova dell'effettiva e legittima attribuibilità delle qualifiche rivendicate dall'interessato, ad esempio, in base a "…decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali relativi all'interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell'applicazione [della disciplina di protezione dei dati personali], la richiesta dell'interessato" (che può comunque far valere in altra sede, sulla base di idoneo materiale probatorio, la propria pretesa al riconoscimento della qualifica o mansione rivendicata).
