La relazione del Garante Privacy dell’attività svolta nel 2002 per ciò che concerne il trattamento dei dati personali dei lavoratori, i sistemi di controllo a distanza degli stessi, nonchè gli annunci di lavoro, la riforma del collocamento e del sistema informativo nel mercato del lavoro.
—
Relazione annuale sull’attività dell’Autorità Garante della Privacy per il 2002 (20 maggio 2003)
(…)
– Rapporto di lavoro
— Tutela dei dati personali dei lavoratori
L’ Autorità si è pronunciata in più di un’occasione sul tema della pro t ezione dei dati personali nel settore del lavo ro, nel quale parte della disciplina integrativa è stata demandata all’autoregolamentazione dei datori di lavo ro e degli altri soggetti coinvolti (si fa riferimento al codice di deontologia relativo ai trattamenti di dati personali necessari per finalità pre v idenziali o per la gestione del rapporto di lavo ro, previsto dall’art. 20, comma 1, lett. b) del d.lg. n. 467/2001).
Tra gli ambiti più problematici affrontati occorre evidenziare il tema del controllo a distanza dei lavoratori effettuato con strumenti informatici e telematici, con particolare riferimento al controllo delle navigazioni in Internet e del traffico di posta elettronica sul luogo di lavoro, rispetto ai quali è in corso un vivace dibattito anche a livello internazionale.
La complessa tematica è stata affrontata dal Gruppo di lavoro istituito in applicazione dell’articolo 29 della direttiva 95/46/CE, il quale ha adottato il 29 maggio 2002 un importante documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro. Nell’atto è stata esamina la questione dei controlli e della vigilanza sulle comunicazioni elettroniche effettuate sul posto di lavoro, con particolare riferimento al controllo da parte del datore di lavoro della posta elettronica e dell’impiego di Internet.
In relazione alla giurisprudenza della Corte europea dei diritti umani riguardante l’articolo 8 della Convenzione per la protezione dei diritti umani e delle libertà fondamentali, nonché di altri p e rtinenti testi di diritto internazionale e delle disposizioni della dire t t i va 95/46/CE, il documento offre precisi indirizzi interpretativi ed esempi concreti su ciò che può costituire attività legittima di controllo e circa i limiti giuridicamente configurabili di vigilanza sui dipendenti esercitata dal datore di lavoro.
Un’altra tematica di particolare interesse, per la quale sono stati presentati numero s i ricorsi e quesiti, concerne l’accesso ai dati personali trattati dal datore di lavo ro nel corso dello s volgimento del rapporto (Prov v. 31 gennaio 2002, in Bollettino n. 24, p. 9).
Con particolare riferimento al diritto di accesso del lavoratore ai dati che lo riguardano, il Garante ha più volte precisato che esso non deve essere confuso con il diverso diritto di accesso agli atti e ai documenti amministrativi e, stante la distinzione tra tali diritti (ai sensi, rispettivamente, dell’ a rt. 13 della legge n. 675/1996 e dell’ a rt. 22 della legge n. 241/1990), è stato ribadito che è possibile pre s e n t a re un’ampia richiesta di accesso al complesso dei dati, ivi compresi quelli riportati all’interno di valutazioni (Provv.ti 10 gennaio 2002, in Bollettino n. 24, p. 6 e 36).
Nell’esaminare il diverso caso in cui un lavoratore ha chiesto di accedere ai dati valutativi di altri colleghi contenuti in documenti amministrativi detenuti dal datore di lavoro, l’ Autorità ha ribadito che le disposizioni in materia di accesso ai documenti amministrativi rappresentano un’idonea fonte normativa, ai fini dell’applicazione dell’art. 27, comma 3, della legge n. 675/1996 e che spetta all’amministrazione destinataria della richiesta valutare la sussistenza dell’ interesse giuridicamente rilevante e delle altre condizioni per accedere ai documenti amministrativi (Provv. 28 ottobre 2002).
Con specifico riferimento al caso in cui l’eventuale diniego dell’accesso trovi fondamento nei regolamenti di attuazione della legge n. 241/1990, il Garante ha poi ricordato (15 aprile 2003) che il Consiglio di Stato ha ritenuto illegittima la disposizione regolamentare di un comune che sottraeva all’accesso, per motivi di riserva t ezza dei terzi, la documentazione relativa al trattamento economico individuale del personale, precisando che l’ amministrazione può semmai adottare la specifica cautela di limitare l’accesso del richiedente alla semplice visione degli atti, come pre vede l’art. 24, lett. d ), della legge n. 241/1990 (Consiglio di Stato, sez. V, 10 febbraio 2000, n. 737).
Nell’ambito del procedimento contenzioso previsto dall’ a rt. 29 della l. n. 675/1996, l’Autorità ha accolto il ricorso di un dipendente di un istituto di ricerca, con riferimento sia alle informazioni allo stesso relative contenute nel fascicolo personale detenuto presso gli uffici amministrativi dell’ente, sia ai dati personali comunque conservati in forma automatizzata nella memoria dei computer utilizzati dall’ interessato medesimo presso le strutture di ricerca dell’istituto (Provv. 23 aprile 2002).
L’Autorità si è poi espressa sulla conoscibilità dei dati personali del lavo r a t o re nell’ a mbito di una procedura di conciliazione obbligatoria, già prevista dagli artt. 69 e 69-bis del d.lg. n. 29/1993. In particolare, è stato ritenuto dall’ Autorità che fosse stata illecitamente effettuata la comunicazione a persone non direttamente coinvolte dell’istanza di attiva z i o n e della procedura da parte del lavoratore; ciò in quanto non è stata individuata alcuna disposizione legislativa o regolamentare che potesse giustificare una tale comunicazione, ai sensi dell’art. 27, comma 3, della legge n. 675/1996 (Provv. 20 gennaio 2003).
In relazione ai dati contenuti nei fascicoli personali, sono poi pervenute al Garante numerose segnalazioni con le quali gli interessati sollevano questioni su alcune modalità con cui vengono gestiti i fascicoli del personale di Fo rze armate e di polizia, con specifico riferimento ai dati sulla salute. Da tali segnalazioni l’Autorità è venuta a conoscenza, in particolare, della procedura secondo la quale alcune amministrazioni esigerebbero dai dipendenti di allegare alle richieste di assenza al lavo ro, per motivi di salute, certificati medici attestanti, oltre la prognosi, anche la diagnosi. Tale documentazione ve r rebbe poi conservata nel fascicolo personale del dipendente.
La procedura trove rebbe solo in alcuni casi uno specifico fondamento normativo e ve rrebbe giustificata dall’esigenza dell’amministrazione di conoscere l’insorgenza nei pro p r i dipendenti di quelle patologie che possono incidere sull’idoneità al servizio o, comunque, sull’utilizzo o porto di armi. Sul punto l’Autorità ha promosso preliminarmente un tavolo di l a vo ro con le amministrazioni interessate, al fine approfondire la tematica e fornire all’ esito le necessarie indicazioni volte a rendere il trattamento di tali informazioni pienamente conforme alla normativa sui dati personali.
In conformità a precedenti pronunce, l’ Autorità ha altresì posto nuovamente in evidenza il principio in base al quale il diritto tutelato dall’ a rt. 13, comma 1, l. n. 675/1996, permette all’interessato di accedere ai dati personali che lo riguardano comunque trattati dal titolare del trattamento; ai sensi del citato art. 13, infatti, è possibile pro p o r re un’istanza volta ad avere contezza anche del complesso (o, come nel caso di specie, di una part i c o l a re tipologia di dati relativi a prestazioni lavorative: entrata e uscita in ufficio, registrazioni riguardanti le a s s e n ze e le care n ze orarie, durata delle prestazioni lavora t i ve rese in un determinato periodo) dei dati personali del richiedente (Prov v. 29 gennaio 2003).
Con altra pronuncia si è, inoltre, nuovamente sottolineato che, sempre nell’ e s e rcizio del diritto di accesso a dati personali, il dipendente può chiedere di conoscere la logica, le finalità e le modalità del trattamento anche quando questo è relativo alla gestione del rapport o di lavo ro e riguardi dati comunicati ad altri organi ed uffici con corrispondenza riservata (Prov v. 29 gennaio 2003).
In una risposta (9 aprile 2002) al quesito di una commissione provinciale per le politiche del lavo ro, circa il trattamento dei dati relativi a persone disabili iscritte negli elenchi per il collocamento obbligatorio, l’Ufficio ha precisato che la trasmissione dei dati in questione alle associazioni rappresentative di tali categorie, senza il preventivo consenso degli interessati, è consentita solo in presenza di una norma di legge o di regolamento che autorizzi espre s s amente tale comunicazione (art. 27, comma 3, legge n. 675/1996).
Nel caso specifico è stato ricordato che l’art. 3 del d.P.R. n. 442/2000 consente ai competenti uffici provinciali del lavoro di comunicare solo ad alcuni soggetti (datori di lavoro, enti pubblici economici interessati all’assunzione, società di mediazione autorizzate, enti previdenziali, centri di formazione professionale ed altre pubbliche amministrazioni) i dati personali relativi alle persone presenti nelle banche dati, con l’esclusione di quelli sensibili di cui agli articoli 22 e 24 della legge n. 675/1996, al fine di promuovere l’occupazione, favorire l’inserimento al lavoro e l’accesso ad attività di orientamento e formazione professionale. Potendo venire in rilievo dati di carattere sensibile, si imponeva il rispetto dell’art. 22, commi 3 e 3-bis della legge 675/1996, nonché di quanto ribadito dagli art. 3 e 4 del d.lg. n. 135/1999 che consentono tale genere di trattamenti solo qualora gli stessi siano indispensabili all’espletamento delle funzioni istituzionali proprie dell’amministrazione titolare e non perché esso possa risultare utile all’ eventuale destinatario dei dati.
E’, invece, da escludersi la possibilità che un componente della commissione provinciale, venuto in possesso di tali informazioni in ragione del proprio ufficio, potesse legittimamente diffondere tali dati ad altri soggetti, anche per ragioni attinenti al rispetto del segreto d’ufficio.
In relazione al quesito formulato da un curatore fallimentare a proposito delle modalità di accesso ai dati contenuti nelle cartelle sanitarie degli ex dipendenti di una società fallita, è stato ricordato che, ai fini dell’ e s e rcizio del diritto di accesso ai dati personali che lo riguardano, l’ex dipendente avrebbe potuto presentare, nei confronti della società ove prestava servizio, o per il tramite dei competenti organi del relativo fallimento, una richiesta per accedere in tutto o in parte ai dati riferiti alla propria persona (in tale ipotesi, è opportuno tenere conto delle disposizioni in materia di fallimento per quanto riguarda i poteri e gli obblighi dei diversi organi della procedura in tema di custodia e di apposizione e rimozione dei sigilli sui beni del fallito e quindi sugli eventuali supporti che possono contenere dati personali, anche dei dipendenti).
Si è, inoltre, ribadito anche in questo caso che la comunicazione all’interessato dei dati idonei a rivelare lo stato di salute contenuti nella “cartella sanitaria” può avvenire “solo per il tramite di un medico designato dall’interessato o dal titolare” (art. 23 della legge n. 675/1996).
Pertanto, la comunicazione può essere effettuata, oltre che attraverso il medico dell’ex datore di lavoro, mediante trasmissione ad un medico di fiducia indicato dall’ex dipendente, il quale, ad esempio, potrebbe a tale scopo designare il medico competente in materia di igiene e sicurezza dei lavoratori presso il nuovo datore di lavoro (29 luglio 2002).
In un caso delicato un’insegnante elementare ha segnalato al Garante di non aver avuto idoneo riscontro ad una richiesta rivolta al competente prov veditorato agli studi, con la quale chiedeva la cancellazione o la trasformazione in forma anonima della dicitura “portatore di handicap” che compariva accanto al proprio nome, in un elenco di lavoratori trasferiti presso altre sedi. La questione, affrontata nell’ambito di un ricorso, evidenziava, inoltre, come la diffusione del dato sanitario, avvenuta in violazione della legge n. 675/1996, avesse determinato nei confronti dell’insegnante una situazione di grave disagio a livello personale e di relazione con gli altri colleghi.
L’Autorità, accogliendo il ricorso, ha precisato che la divulgazione del dato sanitario dell’insegnante era illecita perché avvenuta in violazione della legge che vieta la diffusione di dati idonei a rive l a re lo stato di salute delle persone. E’ stato perciò vietato al Ministero di diffondere ulteriormente, anche presso altri uffici, accanto al nome dell’insegnante, la formula “portatore di handicap”, imponendo all’amministrazione la sostituzione con diciture generiche o codici numerici.
Non è stata, invece, ritenuta idonea la soluzione di sostituire la dicitura con l’apposizione del riferimento normativo (legge 104/92). Ciò perché il riferimento ad una legge che tutela specificamente le persone handicappate finirebbe, anche se in via mediata, per rive l a re comunque informazioni sulle condizioni di salute degli interessati (Prov v. 27 febbraio 2002).
In un altro caso, riguardante l’accesso da parte dei dipendenti alle graduatorie re l a t i ve a l l’ammissione ad alcuni corsi finalizzati all’ a vanzamento di carriera, è stato confermato che, in base alla legge n. 675/1996, la presa di conoscenza delle graduatorie da parte dei lavo r atori avrebbe configurato un’ipotesi di comunicazione da parte del datore di lavo ro dei dati relativi anche ad altri lavoratori, e che tale operazione sarebbe stata ammissibile qualora gli interessati vi ave s s e ro acconsentito, o in presenza di uno degli altri presupposti equipollenti p revisti dalla predetta legge.
Nel caso di specie, la part i c o l a re procedura selettiva seguita è risultata essere specificamente p revista da alcuni accordi tra il datore di lavo ro e le organizzazioni sindacali, attuativi di disposizioni del contratto collettivo nazionale di lavo ro del settore.
Tali accordi ave vano previsto l’ obbligo di formulare una graduatoria per l’ammissione ai corsi di formazione, che, come tale, deve e s s e re resa nota ai partecipanti alla procedura. Occorre infatti permettere ai non ammessi, ave n t i comunque titolo per effetto delle obbligazioni assunte dal datore di lavo ro in sede di contrattazione con le organizzazioni sindacali, una verifica della legittimità della stessa graduatoria e della c o r re t t ezza delle operazioni seguite (ciò anche alla luce del principio di buona fede nell’ a d e mpimento delle obbligazioni più volte ribadito dalla giurisprudenza di legittimità in materia di c o p e rtura di qualifica superiore mediante selezioni o concorsi interni del personale).
In tale ipotesi, la comunicazione dei dati personali riportati nella graduatoria è stata quindi giudicata ammissibile in base alla legge n. 75/1996, in quanto necessaria per l’ e s ecuzione di obblighi di natura contrattuale assunti dal datore di lavo ro nei confronti dei lavoratori interessati (nella specie gli accordi sindacali attuativi del CCNL di settore: 5 agosto 2002).
Un altro caso esaminato ha riguardato una segnalazione re l a t i va alle modalità di corresponsione dello stipendio, da parte di un’azienda, ad un dipendente che non intendeva indica re il proprio numero di conto corrente ai fini del bonifico. Come modalità alternativa di versamento dello stipendio, l’azienda ave va inizialmente previsto che il dipendente presentasse presso la banca indicata per il pagamento alcuni documenti, tra i quali la busta paga, il che era stato giudicato dal dipendente lesivo del proprio diritto alla riserva t ezza.
L’azienda ha infine convenuto sulla possibilità che il dipendente riscuota il proprio stipendio presentando presso la banca un documento di riconoscimento ed il telegramma inviato dalla società contenente l’ i m p o rto del bonifico emesso a favo re dell’ i n t e re s s a t o.
Il Garante ha comunque richiamato l’attenzione sulla necessità di limitare la conoscenza dei dati personali dei dipendenti da parte dell’azienda ai soli dati strettamente necessari, ad esempio, ai fini della loro esatta identificazione, della verifica del titolo a riscuotere il bonifico emesso a loro favo re e dell’ e ventuale adempimento da parte dell’istituto di credito ad altri obblighi di legge (ad esempio, re l a t i vamente alla normativa antiriciclaggio).
L’esibizione allo s p o rtello bancario di documenti ulteriori rispetto a quello di riconoscimento, come la “busta paga”, senza l’adozione di opportuni accorgimenti per non permettere la visione di alcune p a rti non essenziali rispetto alle predette finalità, non può ritenersi giustificata, alla luce del principio di pro p o rzionalità, considerato anche che tale documentazione può contenere indicazioni da cui è desumibile l’ a p p a rtenenza sindacale del dipendente o informazioni sul suo stato di salute (5 febbraio 2003).
Nell’ambito delle diverse iniziative dell’ Autorità sul tema dei trattamenti di dati personali nell’ambito del rapporto di lavoro sono da ricordare inoltre:
– l’iniziativa volta ad acquisire informazioni, in riferimento a notizie apparse sulla stampa, re l a t i ve alla richiesta di alcuni dati personali di iscritti e di specifiche attività sindacali, che sarebbe stata rivolta dalle forze di polizia ad organismi sindacali nella zona di Be n e vento (8 agosto 2002);
– l’attività di accertamento per valutare se siano state violate le disposizioni legislative che tutelano la riserva t ezza e la dignità umana riguardo al caso, riportato dalla stampa, di un marittimo affetto da sindrome da Hiv licenziato dall’azienda per la quale lavorava (7 febbraio 2003);
– la decisione con la quale il Garante, nell’accogliere il ricorso di un laureato insoddisfatto dell’operato della ditta alla quale ave va chiesto invano l’aggiornamento dei dati relativi al titolo di studio appena conseguito e l’attestazione che la variazione fosse stata p o rtata a conoscenza di tutti coloro ai quali i dati erano stati comunicati, ha stabilito che le aziende private e le pubbliche amministrazioni devono aggiornare i propri archivi con le qualifiche professionali ed i titoli di studio acquisiti dai lavoratori.
Tale operazione deve essere tempestiva ed effettuata in ogni altro pertinente data base dell’azienda (Prov v. 6 settembre 2002);
– la decisione, adottata anche in questo caso nell’ambito di un ricorso, con la quale si è stabilito che sul cedolino dello stipendio non deve essere riportata la dicitura "pignoramento", che deve essere sostituita da altre formule (ad es. "altre trattenute") o da codici identificativi che rendano ugualmente comprensibile la voce, ma non consentano a terzi di ve n i re immediatamente a conoscenza di delicati aspetti relativi alla sfera p r i vata del lavo r a t o re.
Con la medesima pronuncia è stato inoltre evidenziato che sul cedolino vanno riportate solo le notizie indispensabili a documentare al dipendente le
d i verse voci re l a t i ve alle competenze e alle trattenute per consentire una verifica agevo l e d e l l’esatta corresponsione della retribuzione. Oc c o r re, quindi, omettere, ad esempio, la specifica causale del pignoramento oppure, come in altri casi, l’indicazione del sindacato al quale il lavo r a t o re iscritto versa la ritenuta sindacale.
Il cedolino dello stipendio, infatti, può essere esibito sia in circ o s t a n ze nelle quali interessa appurare solo il live l l o stipendiale, sia in altri casi nei quali è necessario siano specificate le causali delle va r i e voci, per identificare la porzione di retribuzione "disponibile" (ad es. in caso di richiesta di un finanziamento, "cessioni del quinto") (Prov v. 19 febbraio 2002);
– il pare re circa la possibilità per una persona, invalida civile, di conoscere il numero dei posti di lavo ro e delle mansioni disponibili per i lavoratori disabili presso i singoli datori di lavo ro, nonché, limitatamente ai datori di lavo ro privati, il numero delle convenzioni in corso stipulate con le province ai fini dell’inserimento occupazionale dei disabili e del numero delle unità lavo r a t i ve coinvolte (4 aprile 2003).
— Controllo a distanza dei lavoratori
Altro profilo che assume particolare importanza nel settore del lavoro è quello del c.d. controllo a distanza dei lavoratori, connesso alla più ampia tematica della videosorveglianza.
In materia trova da tempo applicazione l’art. 4 della legge n. 300/1970 che, nel vietare “il controllo a distanza dell’attività dei lavoratori” (anche come mera possibilità di controllo ad insaputa del prestatore), disciplina distintamente le due ipotesi dell’impianto di apparecchiature finalizzate al controllo a distanza (primo comma) e di apparecchiature per fini produttivi, ma tali comunque da presentare la possibilità di fornire anche il controllo a distanza del dipendente (secondo comma).
Il Garante è intervenuto sul tema del controllo a distanza dei lavoratori in particolare in un caso concernente il Consiglio nazionale delle ricerche (CNR). Un lavoratore aveva segnalato all’Autorità l’esistenza, presso la sede dell’istituto, di un sistema di video sorveglianza dotato di una telecamera a circuito chiuso, idonea a sorvegliare l’attività dei lavoratori.
A seguito della richiesta di chiarimenti, il CNR ha confermato la presenza di una telecamera con ampio angolo visuale, in grado di riprendere il passaggio delle persone che entrano nel relativo campo visivo ma non rivolta al controllo dell’attività dei dipendenti.
Le immagini, raccolte per motivi di sicurezza, non erano oggetto di registrazione e venivano trasmesse ad un monitor collocato nel posto di guardia. Sebbene si trattasse di una telecamera ben visibile, la sua presenza non era stata segnalata in alcun modo; all’Istituto è stata pertanto contestata la violazione della normativa sulla protezione dei dati personali per non aver preventivamente informato il pubblico e i lavoratori, attraverso cartelli o avvisi, della presenza della telecamera e per non aver inserito nelle notificazioni presentate al Garante la video sorveglianza e la video registrazione, quali modalità di trattamento dei dati (Provv. 1 ottobre 2002).
Su tale aspetto, e in generale sul problema delle procedure di informazione e di controllo a distanza del personale, l’Autorità è stata inoltre impegnata attivamente nel dibattito in ambito comunitario tra i rappresentanti delle autorità garanti dei Paesi membri dell’Unione europea, costituito ai sensi dell’art. 29 della direttiva 95/46/CE, che si è concluso con l’approvazione del già richiamato documento adottato il 29 maggio 2002 riguardante la vigilanza sulle comunicazioni
elettroniche sul posto di lavoro. In tale documento è stata esamina la questione dei controlli e della vigilanza sulle comunicazioni elettroniche effettuate dal posto di lavoro, con particolare riferimento al controllo da parte del datore di lavoro della posta elettronica e dell’impiego di Internet fatto dai dipendenti.
— Annunci di lavoro, riforma del collocamento e del sistema informativo in materia di lavoro
Il Garante, già negli anni precedenti, ha avviato forme di collaborazione con enti, organismi ed associazioni del settore, per assicurare un più ampio rispetto della legge n. 675/1996 e un’omogeneità dei comportamenti degli operatori coinvolti. Ciò anche in vista dell’adozione del codice di deontologia e di buona condotta per i trattamenti di dati personali per finalità previdenziali o per la gestione del rapporto di lavoro che, secondo quanto previsto dall’art. 20, comma 2 del d.lg. n. 467/2001, prevederà anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione e alla ricezione di curricula contenenti dati personali anche sensibili.
Già in passato questa Autorità aveva indicato alcuni criteri per la corretta applicazione della legge n. 675/1996 in relazione al trattamento di dati personali raccolti tramite coupon o mediante la diversa tipologia di richiesta dei dati rappresentata da annunci ed offerte di lavoro pubblicati su quotidiani e periodici con i quali viene sollecitato l’invio di curricula (v. Provv. 13 gennaio 2000, in Bollettinon. 11-12/2000, p. 39 e ss.).
In tale circostanza il Garante aveva riscontrato la mancanza delle necessarie idonee informative ai sensi dell’art. 10 l. n. 675/1996 e, conseguentemente, accertato l’invalidità del consenso al trattamento dei dati che si chiedeva di esprimere unitamente all’invio dei curricula (consenso che, secondo quanto precisato nel ricordato provvedimento, è peraltro superfluo ove i dati da inserire nel curriculumnon abbiano natura sensibile o non siano comunicati a terzi).
Nel corso di un successivo monitoraggio effettuato su vari annunci più recenti pubblicati su quotidiani e periodici, concernenti offerte di lavoro curate da società di ricerca e selezione del personale, si è nuovamente constatato che, in diversi casi, era presente solo una sintetica richiesta ai candidati interessati di inviare i curricula e, contestualmente, di “autorizzare il trattamento dei dati personali ai sensi della legge n. 675/1996”, peraltro priva delle informazioni prescritte dal predetto art. 10.
Oltre a quanto emerso dal menzionato monitoraggio, sono pervenute a questa Autorità segnalazioni, anche telefoniche, con le quali è stata lamentata l’assenza negli annunci di idonee indicazioni sulle modalità di trattamento dei dati contenuti nei curricula e circa i tempi della loro conservazione; sono state espresse preoccupazioni anche in ordine alla possibile divulgazione a terzi dei dati e al loro eventuale utilizzo per scopi ulteriori rispetto alla sola selezione del personale (ad esempio, per promuovere corsi di formazione a pagamento).
L’Autorità ha pertanto effettuato un’ulteriore verifica su un campione significativo di annunci pubblicati in alcuni quotidiani su iniziativa di società di selezione o di ricerca del personale, di società di lavoro temporaneo e di altri soggetti intermediari che offrono analoghi servizi.
Con un nuovo provvedimento a carattere generale, ha poi segnalato alle società rispetto alle quali sono state accertate le violazioni menzionate, nonché agli organismi pubblici e privati rappresentativi dei settori interessati, la necessità di conformare la raccolta ed il successivo trattamento dei dati personali alle disposizioni contenute nella l. 675/1996, indicando contestualmente alcune soluzioni operative volte a favorire l’attuazione in concreto dei principi di lealtà e correttezza nel trattamento dei dati personali, sin dal momento di pubblicazione degli annunci di lavoro (Provv. 10 gennaio 2002, in Bollettinon. 24, p. 22).
Gli annunci di lavoro per i quali è stata contestata la violazione della legge n. 675/1996 non recavano, anzitutto, un’idonea informativa: oltre a non essere spesso indicata l’identità del titolare del trattamento, mancavano informazioni sulle modalità con le quali vengono utilizzati i dati e gli eventuali scopi ulteriori per i quali vengono raccolti.
Non veniva inoltre chiarito se il conferimento dei dati era obbligatorio o facoltativo, né era specificato se i dati venivano divulgati o meno a terzi (non era quindi indicata nemmeno l’eventuale società per conto della quale venive svolta la selezione o la ricerca del personale).
Mancavano poi indicazioni sui diritti di accesso ai dati o relativi al loro aggiornamento, rettifica, cancellazione e opposizione al loro successivo utilizzo per altri scopi, così come non era indicata la persona cui rivolgersi per esercitare tali diritti.
Gli annunci, nella maggioranza dei casi esaminati, contenevano solo un mero invito nei confronti dei candidati interessati a rilasciare, nel curriculumo nei documenti che intendevano inviare, un consenso generico al trattamento dei dati personali, oltretutto con formule improprie (come “autorizzazione ai sensi della legge n. 675/1996”).
Consenso che, peraltro, non è affatto necessario se le società trattano dati personali comuni e non li mettono a disposizione di terzi (per scopi diversi dall’esecuzione di obblighi contrattuali) e che è, invece, obbligatorio se nei curricula sono contenute informazioni sensibili (ad esempio, relative all’appartenenza a particolari categorie protette).
Queste prassi non sono risultate conformi alla legge n. 675/1996. I principi di lealtà e correttezza del trattamento impongono che i candidati siano chiaramente informati, al momento della pubblicazione degli annunci, sulle modalità e sull’uso che viene fatto dei dati personali richiesti. Le società devono, in sostanza, consentire una scelta libera e consapevole da parte dei candidati e acquisire, quando necessario, un consenso specifico.
Per quanto riguarda i curricula inviati spontaneamente da soggetti in cerca di lavoro, il problema dell’informativa potrà essere risolto adeguatamente anche attraverso le disposizioni del codice di deontologia relativo alla gestione del rapporto di lavoro. Il Garante ha invitato nel frattempo le società a fornire l’informativa e a richiedere l’eventuale consenso in caso di successivo utilizzo dei dati contenuti nei curricula ricevuti. L’Autorità ha, infine, indicato alle categorie interessate un possibile schema di informativa (riproducibile nell’annuncio di lavoro, con l’indicazione anche di formule-tipo).
Con riferimento, invece, alla diversa ipotesi in cui i curricula siano inviati spontaneamente dagli interessati, i destinatari degli stessi, trovandosi di regola nell’impossibilità di fornire in via preventiva l’informativa, sono tenuti ad adempiere comunque, senza ritardo, a tale obbligo in caso di successivo trattamento dei dati (sul punto meritano di essere tenute presenti anche le osservazioni già formulate nel Provv. 28 dicembre 1998, in Bollettinon. 6, p. 119).
Nella precedente relazione annuale l’Autorità ha rilevato la confusa e carente tutela dei dati personali nei sistemi informativi in materia di lavoro, dovuta anche ad un quadro normativo stratificato e disomogeneo.
L’adozione di una disciplina più organica degli aspetti relativi ai flussi di dati nell’ambito del Sistema informativo lavoro ed una revisione delle modalità di redazione delle schede anagrafiche e professionali dei lavoratori era già prevista dal d.lg. n. 19 dicembre 2002, n. 297, recante disposizioni modificative e correttive del d. lg. 21 aprile 2000, n. 181. In virtù di tale decreto i Ministri del lavoro e delle politiche sociali e per l’innovazione e le tecnologie dovevano definire le modalità di trasferimento dei dati da parte dei servizi competenti, dei datori di lavoro e delle imprese fornitrici di lavoro temporaneo, nonché il modello di comunicazione, il formato di trasmissione ed il sistema di classificazione dei dati contenuti nella scheda anagrafica e nella scheda professionale dei lavoratori.
La promulgazione della l. 14 febbraio 2003, n. 30, recante “Delega al Governo in materia di occupazione e mercato del lavor o”, ha previsto la riforma della materia mediante la realizzazione di un sistema di strumenti intesi a garantire trasparenza ed efficienza al mercato del lavoro e a migliorare le capacità di inserimento professionale dei disoccupati e di quanti sono in cerca di una prima occupazione, nel rispetto delle competenze affidate alle regioni in materia di tutela e sicurezza del lavoro dalla legge costituzionale 18 ottobre 2001, n. 3, con particolare riferimento al sistema del collocamento, pubblico e privato.
La nuova disciplina legislativa del 2003 prevede il mantenimento da parte dello Stato delle competenze in materia di conduzione coordinata ed integrata del sistema informativo lavoro e la ridefinizione del regime del trattamento dei dati relativi all’incontro tra domanda e offerta di lavoro, nel rispetto della l. n. 675/1996. Ciò anche al fine di favorire le esigenze di monitoraggio statistico, di prevenire forme di esclusione sociale e vigilanza sugli operatori, con previsione del divieto assoluto per gli operatori privati e pubblici di qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione dei lavoratori, anche con il loro consenso, in base all’affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale, o di famiglia, o di gravidanza, nonché ad eventuali controversie con i precedenti datori di lavoro.
Viene inoltre vietata la raccolta, la memorizzazione o la diffusione di informazioni sui lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.