lunedì 10 giugno 2013

PRIVACY E SICUREZZA

Sulle modalità di trattamento dei dati sensibili in materia di rapporto di lavoro, oggetto dell’apposita autorizzazione del dicembre 2012, il Garante per la privacy fa riferimento agli obblighi previsti sia dagli articoli 11,14, 31 e seguenti che dall’Allegato B* del Codice (Dlgs 196/03). Per le disposizioni richiamate, i dati sensibili devono essere trattati effettuando unicamente “operazioni, logiche e forme di organizzazione dei dati strettamente indispensabilirispetto agli obblighi e le finalità indicate nell’Autorizzazione.

Queste le regole:
  1. i dati sono raccolti, di regola, presso l’interessato;
  2. la comunicazione di dati all’interessato deve avvenire normalmente “direttamente” allo stesso o a un suo delegato**;
  3. la comunicazione resa all’interessato va fatta in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia;
  4. l’interessato va sempre informato del trattamento dei dati e, se necessario, se ne deve acquisire il consenso scritto (articoli 13, 23 e 26 del Codice).
In relazione a quanto prescritto invece dall’art. 11, c.1, lett. e), del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi, ai compiti e per perseguire le finalità fissati nell’Autorizzazione.
E per garantire che la conservazione dei dati avvenga in modo corretto occorre, anche mediante controlli periodici, che siano costantemente verificati i dati forniti dall’interessato in relazione a:
  • a stretta pertinenza;
  • la non eccedenza;
  • la indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico di masionin (da attivare, in atto, cessato) ai dati che l’interessato fornisce di propria iniziativa.
Se questo non viene riscontrato, i dati non possono essere utilizzati ma solo conservati in quanto facenti parte dell’atto o nel documento “di origine”.
* L’Allegato B (Disciplinare tecnico in materia di misure minime di sicurezza) ha individuato le misure minime di sicurezza che tutti i titolari del trattamento, devono adottare, pena l’arresto sino a due anni.
Le misure sono individuate per classi di dati e per tipologie di trattamento. Le misure di sicurezza devono essere “idonee” e cioè riferite alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. Se, a causa della mancata adozione delle misure, l’interessato che ha subito dei danni, questi devono essere risarciti.
** Nel particolare previsto dall’art. 84, comma 1, del Codice, “i dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato… da parte di esercenti le professioni sanitarie e organismi sanitari, solo per il tramite di un medico designato dall’interessato o dal titolare…

No alla diffusione dei dati sullo stato di salute

È nota la differenza che nel Codice per il trattamento dei dati (privacy) si fa tra “comunicazione” e “diffusione” dei dati*.
In ambito di rapporto di lavoro, cui è riservata la recente autorizzazione dell’Autorità per la Privacy, ci si chiede a chi possono essere comunicati e/o diffusi i dati sensibili*(sempre nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalità fissate, materia esposta nei miei precedenti articoli).
Ecco la risposta del Garante: a soggetti pubblici o privati, “ivi compresi organismi sanitari, casse e fondi di previdenza e assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell’interessato.”
A conclusione della serie di contributi sull’Autorizzazione del Garante in ambito dei rapporti di lavoro, è utile ricordare che i titolari dei trattamenti che rientrano nell’applicazione
dell’Autorizzazione e il cui trattamento sia conforme alle prescrizioni indicate nel documento dimesso il 20 dicembre, non sono tenuti a presentare una richiesta all’ Autorità.
Già si è detto che, d’altra parte, le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione dell’Autorizzazione, “devono intendersi accolte nei termini di cui al provvedimento …”.
Nelle norme finali, punto 9) dell’Autorizzazione, si legge che “restano fermi gli obblighi previsti da norme di legge/regolamento/normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute:
a) nell’art. 8 della L. 300/70 – Statuto dei lavoratori – che vieta al datore di lavoro, ai fini dell’assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore;
b) nell’art. 6 della L. 135/90, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in persone prese in considerazione per l’instaurazione di un rapporto di lavoro, l’esistenza di uno stato di sieropositività;
c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni;
d) nell’’art. 8 dello Statuto dei lavoratori e nell’art. 10 del DLgs 276/03, che vietano alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsiasi indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all’handicap, alla razza, all’origine etnica, al colore, alla ascendenza, all’origine nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, …. di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo”.
* Comunicazione: l’atto con cui si fa conoscere i dati personali a uno o più soggetti determinati diversi dall’interessato (in qualunque forma e anche attraverso la loro messa a disposizione o consultazione). Diffusione: l’atto con cui si divulgano i dati personali dell’interessato al pubblico o, comunque, ad un numero indeterminato di soggetti.
** I dati idonei a rivelare lo stato di salute non possono essere diffusi (art. 26, c. 5, del Codice).

Nessun commento: