Questa voce è stata curata da Andrea Stanchi
Cos’è la privacy?
La Privacy è uno dei diritti fondamentali dell’uomo nell’età dell’informazione.
E’ protetta dalla Dichiarazione Universale dei diritti dell’Uomo, dal International Covenant on Civil and Political Rights, dalla Convenzione Europea per la Protezione dei Diritti dell’Uomo e delle Libertà fondamentali e trova specifico riconoscimento nel Codice della Privacy (D.lgs. 196/2003).
Normativa di riferimento
- D.Lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali
- Garante per la protezione dei dati personali, Provvedimento 30 giugno 2005 – Trattamento dei dati sensibili nella pubblica amministrazione
- Garante per la protezione dei dati personali, Provvedimento 23 novembre 2006 – Linee-guida per il trattamento di dati dei dipendenti privati
- Garante per la protezione dei dati personali, Interpello 28 novembre 2006 n. 6585 – Controllo a distanza dell’attività dei lavoratori attraverso sistema informatico
- Garante per la protezione dei dati personali, Deliberazione 1° marzo 2007 – Lavoro: le linee guida del Garante per posta elettronica e internet
- INPS, Circolare n. 50 del 6 marzo 2007 – Misure finalizzate a dare attuazione alle disposizioni del Codice in materia di protezione dei dati personali
- Garante per la protezione dei dati personali, Provvedimento 14 giugno 2007 – Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico
- INPS, Circolare n. 87 del 12 settembre 2008 – Trattamento dei dati sanitari nella gestione della certificazione di malattia
- Garante per la protezione dei dati personali, Interpello 3 ottobre 2008 n. 41 – Dati da riportare sul tesserino di riconoscimento per il personale occupato nei cantieri edili e rispetto del Codice in materia di protezione dei dati personali
- Garante per la protezione dei dati personali, Newsletter 2 marzo 2009 n. 320 – No alle impronte digitali per le presenze dei lavoratori
- Presidenza Consiglio dei Ministri, Dipartimento Funzione Pubblica – Direttiva 26 maggio 2009 n. 2 – Utilizzo di internet e della casella di posta elettronica istituzionale sul luogo di lavoro
- Garante per la protezione dei dati personali, Newsletter 22 settembre 2009 n. 328 – Le aziende non possono “spiare” la navigazione su Internet dei dipendenti
- Garante per la protezione dei dati personali, Provvedimento in materia di videosorveglianza – 8 aprile 2010
Le fonti del diritto in Europa ed in Italia
In Europa il fondamento normativo è dato dall’articolo 8 della Convenzione per la Protezione dei Diritti dell’Uomo e delle Libertà Fondamentali, sottoscritta a Roma il 4 novembre 1950 e ratificata poi dall’Italia con la legge 4 agosto 1955, n. 848.
Il citato articolo 8 testualmente recita:
- Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.
- Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui.
L’applicazione della norma ottiene effettività da parte della Corte Europea dei Diritti dell’Uomo.
La Costituzione del 1948 contiene diverse previsioni relative alla tutela della sfera personale.
Il riferimento principe è alle previsioni dell’art. 2 che riconosce i diritti inviolabili dell’uomo e ne garantisce l’attuazione sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità (1).
Provvedono poi la Parte prima, Titolo primo ad individuare i diritti inviolabili dell’individuo (artt. 13 a 23: libertà personale, inviolabilità del domicilio, libertà e segretezza della corrispondenza e di ogni altra forma di comunicazione, libertà di associazione, di circolazione, politiche e religiose, di manifestazione del pensiero) (2).
La legge 20 maggio 1970, n. 300 (c.d. Statuto dei Lavoratori) si occupava (e si occupa) specificamente della tutela di alcuni fondamentali principi di libertà del lavoratore e di contemperare tali diritti con le necessità dell’impresa di conoscere e gestire alcune tipologie di informazioni personali essenziali all’instaurazione ed allo svolgimento del rapporto di lavoro subordinato.
In particolare, all’interno degli articoli:
- 2 (utilizzo delle guardie giurate)
- 3 (utilizzo del personale di vigilanza)
- 4 (utilizzo di impianti audiovisivi)
- 5 (accertamenti sanitari da parte del datore di lavoro)
- 6 (visite personali di controllo)
- 8 (divieto di indagini sulle opinioni)
- da 15 a 17 (relativi alla tutela antidiscriminatoria in positivo ed in negativo)
la normativa del 1970 detta regole fondamentali che individuano ambiti di libertà per la personalità del lavoratore: cioè limitano le possibilità di ingerenza del datore di lavoro nella sfera personale dell’individuo e la gestione di determinate categorie di informazioni che la legge considera irrilevanti ai fini del rapporto di lavoro.
Ribadito il principio che l’ambito di applicazione delle normative dello Statuto dei lavoratori è limitato al rapporto di lavoro subordinato (art. 2094 cod. civ.), il punto di partenza di ogni indagine è, imprescindibilmente, l’articolo 1, il quale prevede che “i lavoratori, senza distinzione di opinioni politiche, sindacali e di fede religiosa, hanno diritto di manifestare liberamente il proprio pensiero, nel rispetto dei principi della Costituzione e delle norme della presente legge.”
Si tratta del principio ispiratore di tutto il titolo primo rubricato “della libertà e dignità del lavoratore” e, in generale, ispiratore di tutta la legge.
Il rapporto di lavoro, infatti, per le sue peculiarità (continuità, durata, messa a disposizione di energie per il coordinamento da parte dell’imprenditore per il raggiungimento delle finalità dell’impresa, poteri di controllo e disciplinari, poteri di conformazione, doveri di tutela sotto il profilo psico-fisico e della personalità morale del dipendente, ecc.) comporta la necessità per l’impresa, di intervenire, entro certi limiti, nella sfera personale del dipendente.
La disciplina Statutaria pertanto, dovrà essere integrata dalla normativa generale in tema di trattamento dei dati personali. Le due discipline non necessariamente si sovrappongono, ma in certi casi la generalità della seconda deve essere, dall’interprete, integrata e armonizzata con la specificità della prima.
Il 24 ottobre 1995 è stata approvata la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Questa direttiva – il cui recepimento da parte dell’Italia avrebbe portato poi all’approvazione della legge 675/96 – risulta suddivisa in 7 Capi di cui il primo, dal titolo “Disposizioni Generali” , contiene i principi generali, le definizioni e il campo di applicazione (3).
La Direttiva 2002/58/CE (4) approvata il 12 luglio 2002 e relativa al trattamento dei dati personali e alla tutela della vita privata delle comunicazioni elettroniche infine, integra ulteriormente la Direttiva 95/46/CE abrogando, con l’articolo 19, la precedente direttiva 97/66/CE.
In particolare la direttiva, traducendo in norme specifiche per il settore delle telecomunicazioni alcuni principi generali enunciati dalla Direttiva 95/46/CE, ha inteso disciplinare il trattamento dei dati da parte dei fornitori di servizi di telecomunicazione offerti al pubblico. Tra le varie disposizioni del provvedimento vale la pena ricordare l’articolo 5 che tende a stabilire un principio generale di riservatezza “delle comunicazioni effettuate tramite la rete pubblica di telecomunicazione e i servizi di comunicazione elettronica accessibili al pubblico”.
Con il D.lgs. 196/2003 la normativa del 1995 è stata novellata recependo alcune delle interpretazioni che si erano consolidate nell’applicazione della legge.
Il Codice della privacy è accompagnato da una serie di Codici deontologici (disponibili come allegati sul sito del Garante richiamato) che disciplinano alcune attività di trattamento dei dati in modo integrativo rispetto al codice.
Tali codici deontologici sono secondo l’opinione della giurisprudenza norme a tutti gli effetti integrative della disciplina della privacy e vincolanti (la violazione può comportare l’applicazione delle sanzioni previste dalla legge).
Nel 2006 il Garante della privacy ha emanato delle Linee guida per il trattamento dei dati nel rapporto di lavoro, privato e pubblico, e per il trattamento dei dati relativi all’utilizzo delle email da parte dei dipendenti e dell’Internet (cfr. al termine di questa Voce tutti i riferimenti ai relativi provvedimenti)
– – – – – – –
Note:
- Cfr. Barbera, Commentario all’art. 2 in Commentario della Costituzione a cura di Branca, pagg. 50 e sgg..
- Cfr. Amato, Pace, Finocchiaro, Rapporti civili, in Commentario della Costituzione a cura di Branca, Bologna, 1977.
- La direttiva citata e quelle che verranno successivamente indicate si possono leggere sul sito della Comunità europea
- Con riferimento alla direttiva 2002/58/CE, si veda anche la direttiva 2002/21/CE del 7 marzo 2002 che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (c.d. direttiva quadro).
Gli organismi nazionali ed internazionali che presiedono all’applicazione della normativa
L’Autorità del Garante della privacy viene definita, nella sua struttura organica, dall’articolo 153 del Codice e, nei suoi compiti, dall’articolo 154.
Gli articoli da 157 a 160 definiscono e disciplinano gli accertamenti e i controlli che il Garante può disporre.
Il Garante italiano all’interno dell’Unione Europea è membro del Gruppo delle autorità garanti delle nazioni europee istituito in base all’articolo 29 della direttiva n. 95/46/CE (c.d. Data Protection Working Party). Si tratta di un Indipendent EU Advisory Body on Data Protection and Privacy.
E’ quindi un organo della Comunità Europea che si occupa di monitorare l’applicazione delle direttive e di fornire linee guida e di indirizzo nonché suggerimenti per l’evoluzione della disciplina e della sua applicazione. E’ un organismo indipendente a carattere anche consultivo dell’Unione Europea in tema di protezione dei dati personali e dei diritti della personalità. Le raccomandazioni ed i pareri che emana non hanno efficacia normativa.
Sempre in ambito europeo, il Garante inoltre fa parte delle Autorità comuni di controllo istituite in base alle Convenzioni Schengen, (Eurogol, Sistema informativo doganale ed Eurodac). Inoltre il Garante fa parte del Comitato consultivo (denominato T-PD) istituito dalla Convenzione n. 108/1981 del Consiglio d’Europa e formato da rappresentanti di paesi aderenti alla Convenzione e del Gruppo di lavoro a carattere permanente (denominato CJ-PD) che si occupa della protezione dei dati personali anche nel settore della cooperazione giudiziaria e della predisposizione delle Raccomandazioni del Consiglio d’Europa.
All’interno dell’OCSE partecipa al Gruppo sulla sicurezza dell’informazione e sulla privacy (WPISP) il quale fa parte del Comitato per la politica dell’informazione (ICCP) istituito all’interno della Direzione scienza, tecnologia e industria dell’OCSE.
Normativa generale e normativa speciale: il Testo Unico e i codici deontologici e di buona condotta
Come abbiamo visto, con il Decreto legislativo 196/2003 è stato approvato il testo unico in materia di privacy denominato “Codice in materia di protezione dei dati personali” (d’ora in avanti anche “Codice”) nonché sono stati censiti, e specificamente disciplinati come fonti normative derivate, i codici di deontologia e di buona condotta. Quelli già pronti risultano parte integrante del Codice stesso come Allegati.
Il Codice, frutto della sintesi e dell’ analisi di una complessa evoluzione normativa, è costituito da 186 articoli, suddivisi in 3 Parti:
- la Parte I contiene le disposizioni generali, per ogni tipo di trattamento
- la Parte II contiene invece disposizioni relative a specifici settori
- la Parte III infine si occupa dei procedimenti a tutela dell’interessato e delle sanzioni derivanti dalla violazione delle disposizioni imperative.
Completano il Codice gli Allegati:
- L’Allegato A contiene i codici di deontologia in relazione a determinate attività e, più nello specifico:
- l’Allegato A1 contiene il “Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica” (Provvedimento del Garante senza numero del 29 luglio 1998, in G. U 3 agosto 1998, n. 179);
- l’Allegato A2 riguarda il “Codice di deontologia e di buona condotta per il trattamento di dati personali per scopi storici” (Provvedimento del Garante n. 8/P 121 del 14 marzo 2001, in G. U 5 aprile 2001, n. 80);
- l’Allegato A3 si riferisce al Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale;
- l’Allegato A4 contiene il “Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica”;
- L’Allegato A5 contiene il “Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”;
- L’Allegato A6 contiene il “Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive”.
- L’Allegato B regolamenta, in linea con quanto previsto dagli articolo da 33 a 36 del Codice, il “Disciplinare tecnico in materia di misure minime di sicurezza” che contiene le modalità tecniche da adottare nel trattamento dei dati (1).
- L’Allegato C regolamenta i “Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia” in attuazione degli articoli 46 e 53 del Codice.
Tra i codici ancora in via di completamento vi è quello per la gestione del rapporto di lavoro e per finalità previdenziali.
Per i testi dei diversi allegati si veda il sito del Garante della Privacy (Garante per la protezione dei dati personali)
– – – – – – –
Note:
- Per informazioni sul punto, cfr. Berghella, Guida Pratica alle nuove misure di sicurezza per la privacy, Collana ABI Economia e Gestione, Roma, 2003.
Come funziona e la protezione che assicura la legge – Sintesi generale dei principi della normativa
La logica della protezione della legge è che nessuno può trattare i dati personali di qualcun altro senza averlo preventivamente informato del trattamento che intende fare, delle ragioni della raccolta dei dati, delle logiche e modalità di trattamento, della circolazione dei dati conseguente al trattamento.
Sulla base di queste informazioni il titolare dei dati (definito dalla normativa come interessato) può prestare il proprio consenso o meno al trattamento. Senza consenso, in linea generale e salvo le specifiche eccezioni della legge, il trattamento non può essere effettuato. Nessun dato sensibile (v. infra) può essere trattato senza consenso.
La giurisprudenza ha precisato (Cass. 10260/2009) che la regola è che il trattamento è vietato tranne i casi in cui è consentito dalla legge (per il consenso o per la ricorrenza dei presupposti di non necessità di questo).
Su queste premesse è facile comprendere la natura fondamentale del c.d. “principio di necessità” (art. 3) la cui funzione è limitare, allo stretto indispensabile, il ricorso alle tecnologie che consentono il trattamento dei dati personali, prevedendo la esclusione del trattamento di dati personali (cioè di dati individui) quando le finalità perseguite possono essere realizzate mediante il trattamento di dati anonimi o mediante opportuni accorgimenti che permettano l’individuazione dell’interessato solo in caso di necessità.
Il c.d. “principio di necessità” deve essere poi integrato e collegato all’articolo 11 relativo alle modalità di trattamento dei dati e ai requisiti degli stessi con particolare riferimento al c.d. “principio di finalità” di cui allo stesso articolo 11, comma 1, lett. c) e d) per i quali i dati debbono essere esatti, pertinenti e non eccedenti rispetto allo scopo per i quali sono raccolti e trattati.
I dati vanno conservati per il periodo necessario alle finalità del trattamento e comunque per un tempo definito (in molti casi è previsto dalla normativa o dai provvedimenti a portata generale del Garante).
Il trattamento deve essere presidiato da misure di sicurezza fisiche (segregazione delle aree di residenza dei server e limitazioni di accesso, con identificazione delle persone che accedono) e logiche (sono tali le misure di processo, piuttosto che informatiche, ecc.).
La violazione delle regole della legge comporta l’applicazione di sanzioni penali.
I diritti possono essere fatti valere sia presso il Garante (la legge disciplina varie forme di accesso all’Autorità: segnalazioni, reclami, ricorsi), sia presso l’Autorità Giudiziaria ordinaria.
Di seguito esaminiamo con maggiore specificità i vari aspetti.
Le definizioni (art. 4)
Il concetto di dato personale (art. 4, lett. b) è ormai ragionevolmente precisato da interpretazioni e norme come qualsiasi informazione che possa ricondurre alla soggettività, persona fisica o giuridica, consentendone anche indirettamente l’identificazione.
Esistono categorie di dati che hanno particolari protezioni:
- I c.d. “dati sensibili” che vengono definiti, dall’articolo 4, comma 1, lett. d), come quei particolari dati personali “idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.” La categoria ha poi una particolare declinazione nel rapporto di lavoro, ove esistono dati –quelli previsti dall’art. 8 o dall’art. 15 dello Statuto dei lavoratori- che pur non essendo sensibili, non possono essere trattati dal datore di lavoro. Altrettanto ovviamente esistono dati sensibili il cui trattamento è indispensabile alla gestione del rapporto. Esistono rispetto a queste categorie delle autorizzazioni generali del Garante al trattamento. Altrimenti l’autorizzazione va chiesta specificamente al Garante.
- All’articolo 17 sono illustrati i c.d. “dati quasi sensibili” o “semi sensibili” o “più che ordinari” e, cioè, quei dati inseriti nella precedente legge 675/1996 dal D.Lgs 467/2001 che, pur non rientrando tra i dati sensibili, comunque necessitano di una tutela rafforzata e più intensa rispetto ai dati ordinari. L’articolo 17 del Codice, adottando una terminologia pressoché identica a quella comunitaria, individua tali dati come quei dati “diversi da quelli sensibili e giudiziari” il cui trattamento “presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare.” Tali dati potranno essere trattati dopo che il Garante avrà stabilito gli eventuali accorgimenti che il titolare dovrà adottare (c.d. prior checking). La previsione di tali accorgimenti viene prevista come norma-cornice dal comma 2 dell’articolo 17. Allo stato tali accorgimenti non risultano ancora stati adottati, se non in casi specifici a seguito di provvedimenti ad hoc.
- Il dato anonimo viene definito dall’articolo 4, comma 1, lett. n) come quel “dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.” In sostanza il dato può essere considerato anonimo quando è impossibile risalire all’interessato anche a seguito di trattamento.
- I c.d. dati giudiziari i quali vengono definiti, dall’articolo 4, comma 1, lett. e) come quei dati personali “idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lett. da a) a o) e da r) a u) del DDPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”. Le ipotesi di cui all’articolo 3, comma 1 sopra richiamate, sono le notizie che devono essere iscritte nel casellario giudiziale e sono, a titolo esemplificativo, i provvedimenti giudiziari penali di condanna definitivi, le misure di sicurezza, ecc.. Vale solo la pena segnalare le due ipotesi escluse dal citato articolo 4, comma 1, lett. e) del Codice (e che pertanto non si considerano dati giudiziari): i provvedimenti giudiziari definitivi di interdizioni e inabilitazione e quelli di revoca, nonché i decreti che istituiscono, modificano o revocano l’amministrazione di sostegno (articolo 3, comma 1, lett. p) del DPR 313/2002) e i provvedimenti giudiziari che dichiarano fallito l’imprenditore; quelli di omologazione del concordato fallimentare; quelli di chiusura del fallimento; quelli di riabilitazione del fallito (articolo 3, comma 1, lett. q) del DPR 313/2002).
Il concetto di trattamento viene definito dall’articolo 4, comma 1, lett. a) come
“qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.”
Il concetto è molto ampio. Particolari modalità di trattamento sono poi la “comunicazione” e “diffusione” (oggetto di specifica definizione da parte del legislatore. A tal fine, l’articolo 4, comma 1, lett. l) e m)).
Queste tipologie sono disciplinate restrittivamente dall’art. 25 che le impedisce senza il consenso, tranne in casi particolari.
La normativa ha efficacia territoriale. Cioè si applica quando il trattamento è fatto nel territorio dello stato italiano (nell’accezione allargata di luogo su cui si esercita la sovranità) Quindi anche se i dati personali sono detenuti anche all’estero, ed anche al trattamento dei dati “effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’unione Europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione Europea.”
Non esistono pertanto vincoli al trasferimento di dati all’interno dell’Unione Europea mentre, per quanto riguarda il trasferimento di dati diretto verso Paesi non appartenenti all’Unione europea è consentito solo ed esclusivamente nel pieno rispetto delle prescrizioni sancite dagli articoli 43, 44 e 45 del Codice.
Il criterio base per il trasferimento, anche temporaneo, di dati in Paesi non aderenti all’Unione Europea è essenzialmente il consenso dell’interessato che potrà essere “espresso” nell’ipotesi di dati comuni e dovrà invece essere “scritto” nel caso di dati sensibili.
Gli altri criteri per i quali è ammesso il trasferimento in Paesi non rientranti nell’area dell’Unione, vengono specificati espressamente e, riteniamo, tassativamente, dall’articolo 43.
L’articolo 44 stabilisce comunque che il trasferimento di cui sopra è consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato precisate dalla norma o dai provvedimenti dell’Autorità.
In linea generale il trasferimento verso paesi non UE (in particolare oltreatlantico) richiede l’esistenza di accordi specifica (c.d. Binding Corporate Rules: cfr. la segnalazione al Parlamento e al Governo sul trasferimento di dati personali in Paesi terzi e norme vincolanti d’impresa, 8 novembre 2007 (doc. web n. 1467485) che garantiscano lo stesso livello di garanzia dell’applicazione della legge europea (normalmente si richiama questa nelle BCR).
I Soggetti
La legge prevede tre categorie essenziali di soggetti. Il titolare, cioè colui che effettua il trattamento; l’interessato, cioè il soggetto a cui i dati appartengono; l’incaricato (art. 30), cioè il soggetto membro dell’organizzazione di trattamento predisposta dal titolare che effettua materialmente il trattamento.
E’ figura eventuale quella del Responsabile del trattamento (art. 29). Anche questi è figura (persona fisica o giuridica) che effettua una parte del trattamento o l’intero e che presidia l’organizzazione che vi provvede nell’interesse del titolare del trattamento.
Si tratta sostanzialmente delle figure che riproducono la struttura organizzativa che il titolare del trattamento ha scelto per effettuarlo. Tutti devono avere specifiche informazioni e disposizioni sulle modalità in cui il trattamento va effettuato e quali sono i limiti delle funzioni loro assegnate.
Il trattamento
Il trattamento presuppone la raccolta del dato, che avviene presso l’interessato o in casi particolari presso terzi.
La raccolta presuppone l’informativa sul trattamento, cioè l’informazione sulle ragioni, logiche, finalità, modalità, durata del trattamento, nonché sulla circolazione dei dati conseguente ad esso (art. 13).
L’informativa è il parametro di valutazione del consenso (art. 23 e seguenti) che l’interessato presta: se la prima non è esauriente il consenso si intende non idoneamente prestato perché non sufficientemente consapevole.
Esistono una serie di condizioni specificamente previste dalla legge che autorizzano il trattamento senza consenso (sia dei dati normali sia di quelli sensibili: art. 24 e 26).
Nell’ambito del rapporto di lavoro, il generale tema del consenso, va rapportato alla specificità della materia ed agli interventi che nel corso degli anni il legislatore ha effettuato per snellire le pratiche di gestione del rapporto, identificando correttamente i reali spazi di operatività della norma.
Il consenso va richiesto:
- per il trattamento dei dati sensibili leciti (cioè quelli che non sono coperti dal divieto dell’art. 8 Legge 300/1970, che abbiamo già visto); precisato che sussistono in materia di lavoro autorizzazioni generali del garante (in particolare n. 1 e 5, rinnovate, allo stato, di anno in anno, che esaminiamo nel paragrafo successivo);
- per la comunicazione a categorie di soggetti esterni all’impresa (che abbiamo visto);
- per il trattamento di dati non necessari per l’esecuzione degli obblighi derivanti dal rapporto di lavoro ma adottato per finalità altrimenti connesse alla gestione del rapporto di lavoro;
Quanto alla forma, il consenso per il trattamento dei dati comuni, che deve essere espresso, teoricamente può anche essere orale, purché tuttavia sia documentato per iscritto (rendendo di fatto l’ipotesi di un consenso orale del tutto residuale e di difficile configurazione o utilità).
Il consenso al trattamento dei dati sensibili invece, deve essere conferito esclusivamente in forma scritta (art. 23, co.4).
Esistono poi tipologie di trattamenti (artt. 37 e 38) per le quali è prescritta la notifica preventiva al Garante.
Il modello è disponibile sul sito del Garante ove sono presenti dettagliate informazioni sulla compilazione.
La notificazione può essere effettuata anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente (es. Poste Italiane (1)), anche presso associazioni di categoria e ordini professionali. Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, co. 3, DPR n. 445/2000).
Il dispositivo per la firma digitale è disponibile presso uno dei certificatori accreditati ai sensi dell’art. 2, co. 1, lett. c) D.Lgs. n. 10/2002 (2).
In sede di prima notificazione viene attribuito un Codice Unico del Notificante (CUN). Tale codice va utilizzato per ogni successiva notifica (modifica/cessazione). L’art. 37 indica i trattamenti per i quali la notifica è necessaria.
Va segnalato che il Garante ha escluso la notificazione per alcuni trattamenti di dati personali (Provv. n. 1/2004 del 31 marzo 2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81).
Le notificazioni sono repertoriate in un registro, accessibile a chiunque con modalità agevoli e gratuitamente per via telematica
Il trattamento dei dati sensibili viene specificamente disciplinato dal Codice all’interno degli articoli 20 (per quanto riguarda il trattamento da parte di soggetti pubblici, esclusi gli enti pubblici economici) e 26 (per quanto riguarda il trattamento da parte di tutti i soggetti privati e da parte degli enti pubblici economici) del Codice. A tali dati viene garantita una tutela rafforzata rispetto ai dati ordinari proprio per la delicatezza degli stessi.
L’attività di gestione del trattamento di tali dati è stata pertanto sottoposta dal legislatore a particolari cautele. Da parte dei soggetti privati e degli enti pubblici economici, il trattamento di tali dati può avvenire solo con il consenso scritto dell’interessato e previa autorizzazione del Garante (articolo 26 del Codice) nell’osservanza dei presupposti e dei limiti fissati dal Codice stesso.
La legge pertanto pone due condizioni al fine di permettere il trattamento lecito di tali dati: consenso scritto e autorizzazione del Garante. Tali condizioni debbono essere presenti entrambi.
Esistono delle Autorizzazioni generali:
- Autorizzazione n. 1/2008 al trattamento dei dati sensibili nei rapporti di lavoro, 19 giugno 2008
- Autorizzazione n. 2/2008 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, 19 giugno 2008
- Autorizzazione n. 3/2008 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni, 19 giugno 2008
- Autorizzazione n. 4/2008 al trattamento dei dati sensibili da parte dei liberi professionisti, 19 giugno 2008
- Autorizzazione n. 5/2008 al trattamento dei dati sensibili da parte di diverse categorie di titolari, 19 giugno 2008
- Autorizzazione n. 6/2008 al trattamento dei dati sensibili da parte degli investigatori privati, 19 giugno 2008
- Autorizzazione n. 7/2008 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici, 19 giugno 2008
La legge (comma 3 dello stesso articolo 26) ha peraltro previsto delle deroghe al principio sopra indicato.
Le due condizioni sopra indicate non si applicano al trattamento di:
- dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità esclusivamente religiosa hanno contatti regolari con le medesime confessioni effettuato dai relativi organi, ovvero da da enti civilmente riconosciuti, a condizioni che i dati non siano comunicati o diffusi all’esterno delle confessioni e che le medesime organizzazioni abbiano approntato idonee garanzie (l’art. 8, par. 2, lett.d, della direttiva parla di garanzie adeguate) (3); una disposizione transitoria (art. 181, co.6) autorizza le suddette confessioni che prima dell’entrata in vigore del Codice abbiano già adottato le garanzie richieste possono proseguire l’attività di trattamento;
- dati riguardanti l’adesione di associazioni od organismi a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
Ciò significa che per effettuare il trattamento di tali dati non occorre né il consenso scritto né l’autorizzazione del Garante.
Il comma 4 poi prevede una via intermedia di trattamento stabilendo che i dati sensibili possono costituire oggetto di trattamento anche senza consenso (qui la legge non precisa se scritto) dell’interessato ma previa autorizzazione del Garante nei seguenti casi:
- quando il trattamento è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo relativamente ai dati degli aderenti o dei soggetti che, in relazione a tali finalità, hanno contatti regolari con l’associazione o l’ente, sempre che i dati non siano comunicati o diffusi all’esterno e l’ente o l’associazione determini idonee garanzie relativamente ai trattamenti effettuati prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa;
- quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo;
- quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive o comunque per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale il diritto difeso deve essere di rango pari a quello dell’interessato ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile. La valutazione del “pari rango” va condotta sulla base del diritto che si vuole difendere in giudizio o fare valere. Il Garante, in riferimento ai diritti di accesso, ha precisato (Comunicato Stampa del 15 settembre 2003) che occorre anche apprezzare se tutti i dati trattati siano “effettivamente necessari” all’esercizio o alla difesa di diritti equivalenti a quello di riservatezza, occorrendo altrimenti limitare parzialmente il trattamento alle sole informazioni necessarie. Ovviamente il limite del “pari rango” non trova applicazione nel caso di accesso ai dati da parte dell’interessato;
- quando il trattamento è necessario per adempiere a specifici obblighi previsti dalla legge, anche comunitaria, primaria e secondaria, per la gestione del rapporto di lavoro, nei limiti dell’autorizzazione rilasciata dal Garante e ferme restando le norme del codice di deontologia (quando verrà emanato).
L’ultimo comma dell’articolo 26 fissa in ogni caso il principio per cui i dati idonei a rivelare lo stato di salute non possono essere diffusi.
Come emerge quindi dal disposto del 4 comma, lett. d), i dati sensibili potranno essere trattati dal datore di lavoro senza alcun consenso da parte del lavoratore, ma solo nelle ipotesi specificamente disciplinate dalla suddetta lett. d). Naturalmente dovrà essere chiesta l’autorizzazione al Garante (si ribadisce che esiste per il trattamento dei dati nei rapporti di lavoro e per i trattamenti di diverse categorie di dati sensibili correlati al medesimo rapporto, un’autorizzazione generale).
Le modalità di trattamento dei dati, comuni per tutte le tipologie di trattamento (e quindi anche per il trattamento in ambito lavoristico) sono disciplinate dagli articoli da 11 a 17.
L’articolo 11, che integra e specifica il c.d. “principio di necessità” già affrontato, regolamenta le modalità di trattamento e i requisiti dei dati.
Le modalità del trattamento devono essere improntate ai seguenti principi:
- liceità
- correttezza
- scopi determinati espliciti e legittimi
- esattezza
- aggiornamento
- pertinenza
- completezza
- non eccedenti le finalità del trattamento
- conservazione limitata.
Il combinarsi delle modalità è valutato dall’Autorità per individuare la liceità o meno del trattamento.
In particolare, ad esempio, nel rapporto di lavoro la liceità del trattamento può dipendente non solo dalla sussistenza delle condizioni previste dalla normativa generale sulla privacy, ma dalla sussistenza dei requisiti specifici previsti dalla normativa giuslavoristica (è il caso ad esempio del trattamento dei dati dal quale possa scaturire un controllo sulla prestazione del lavoratore: cfr. art. 4, Legge 300/1970, co. 1 e co. 2).
– – – – – –
Note:
- Cfr. sito Poste italiane
- L’elenco dei certificatori è rinvenibile sul sito internet
- Il Codice completa l’intervento di adeguamento iniziato con il D.Lgs. 135/99 e con il D.Lgs. 467/2001, armonizzando la disciplina normativa anche in riferimento alla giurisprudenza costituzionale e alle garanzie di cui le medesime confessioni si dotano in conformità all’autorizzazione del Garante (Aut. n. 3/2002)
Diritto di accesso
L’articolo 7 disciplina il c.d. diritto di accesso dell’interessato (ex diritti ai sensi dell’art. 13 L.n. 675/96). Tale diritto si sostanzia in una serie di prerogative quali:
- il diritto di ottenere la conferma dell’esistenza o meno di dati che lo riguardano anche se non ancora registrati (articolo 7, comma 1);
- il diritto di ottenere l’indicazione dell’origine dei dati, delle finalità e modalità del trattamento nonché della logica applicata al trattamento nell’ipotesi in cui gli stessi vengano trattati con strumenti elettronici;
- il diritto di ottenere gli estremi identificativi del titolare, dei responsabili e dell’eventuale rappresentante designato sul territorio dello Stato nonché dei soggetti ai quali i dati possono essere comunicati (articolo 7, comma 2). Quanto alla comunicazione, l’art. 4, co.1, lett. l), precisa che non può considerarsi comunicazione quella effettuata all’interessato, al rappresentante del titolare nel territorio dello stato, al responsabile o all’incaricato, in conformità alle previsioni della direttiva (95/46/CE perchè tali soggetti sono considerati destinatari dei dati e quindi non terzi. Va tenuta distinta la nozione di comunicazione elettronica riprodotta (dalla direttiva 2002/58/CE) dal comma 2, lett. a) del medesimo art. 4, che fa riferimento –per semplificazione- alle email.
Inoltre l’interessato ha diritto di ottenere (articolo 7, comma 3):
- l’aggiornamento, la rettificazione ovvero l’integrazione dei dati;
- la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge;
- l’attestazione che le operazioni di cui sopra sono state portate a compimento.
L’interessato ha inoltre il diritto di opporsi in tutto o in parte (articolo 7, comma 4):
- per motivi legittimi al trattamento di dati che lo riguardano anche se pertinenti allo scopo della raccolta;
- al trattamento di dati per invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (c.d. trattamenti con finalità di marketing).
In ordine al diritto di accesso dell’interessato, il Garante è più volte intervenuto in vigenza della precedente normativa stabilendo che il titolare del trattamento “deve fornire pieno riscontro alla richiesta di accesso formulata dall’interessato, mettendo a disposizione di questi tutti i dati personali che lo riguardano.” (1)
Inoltre, l’Autorità Garante, ha anche stabilito che il diritto di accesso è esercitabile nei confronti di qualsiasi titolare del trattamento e non può essere soggetto a limitazioni ipotizzate dall’Azienda che possono semmai essere invocate in riferimento ad eventuali documenti amministrativi.
I limiti sono analiticamente indicati dalla legge (sono previsti ed elencati tassativamente dall’articolo 8, comma 2 del Codice) (2).
Va solo la pena, in relazione alla materia trattata, precisare che vi può essere esclusione dall’accesso qualora lo stesso possa comportare pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria. Sotto questo profilo il datore di lavoro va ritenuto avere il diritto di escludere l’accesso a dati qualora ciò possa comportare il pregiudizio per l’esercizio di un proprio diritto di analoga rilevanza.
Le modalità di esercizio dei diritti, disciplinate dall’articolo 8 del Codice, non richiedono particolari formalità. Anzi, il primo comma chiarisce che i “diritti di cui all’articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.”
La norma, piuttosto ermetica, deve essere integrata con l’articolo 9 che disciplina le modalità di esercizio dei diritti. Tale disposizione prescrive che la richiesta deve essere rivolta al titolare o al responsabile mediante lettera raccomandata, telefax o posta elettronica.
Viene poi precisato che il Garante potrà individuare altri mezzi idonei con riferimento a nuove soluzioni tecnologiche. Per quanto riguarda l’esercizio dei diritti di cui ai commi 1 e 2 dell’articolo 7, la richiesta può essere formulata anche oralmente e, in tal caso, il responsabile o il titolare, annotano sinteticamente la richiesta stessa. L’articolo 7 disciplina il c.d. diritto di accesso dell’interessato (ex diritti ai sensi dell’art. 13 L.n. 675/96).
Tale diritto si sostanzia in una serie di prerogative quali:
- il diritto di ottenere la conferma dell’esistenza o meno di dati che lo riguardano anche se non ancora registrati (articolo 7, comma 1);
- il diritto di ottenere l’indicazione dell’origine dei dati, delle finalità e modalità del trattamento nonché della logica applicata al trattamento nell’ipotesi in cui gli stessi vengano trattati con strumenti elettronici;
- il diritto di ottenere gli estremi identificativi del titolare, dei responsabili e dell’eventuale rappresentante designato sul territorio dello Stato nonchè dei soggetti ai quali i dati possono essere comunicati (articolo 7, comma 2). Quanto alla comunicazione, l’art. 4, co.1, lett. l), precisa che non può considerarsi comunicazione quella effettuata all’interessato, al rappresentante del titolare nel territorio dello stato, al responsabile o all’incaricato, in conformità alle previsioni della direttiva (95/46/CE perchè tali soggetti sono considerati destinatari dei dati e quindi non terzi. Va tenuta distinta la nozione di comunicazione elettronica riprodotta (dalla direttiva 2002/58/CE) dal comma 2, lett. a) del medesimo art. 4, che fa riferimento –per semplificazione- alle email.
Inoltre l’interessato ha diritto di ottenere (articolo 7, comma 3):
- l’aggiornamento, la rettificazione ovvero l’integrazione dei dati;
- la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge;
- l’attestazione che le operazioni di cui sopra sono state portate a compimento.
L’interessato ha inoltre il diritto di opporsi in tutto o in parte (articolo 7, comma 4):
- per motivi legittimi al trattamento di dati che lo riguardano anche se pertinenti allo scopo della raccolta;
- al trattamento di dati per invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (c.d. trattamenti con finalità di marketing).
In ordine al diritto di accesso dell’interessato, il Garante è più volte intervenuto in vigenza della precedente normativa stabilendo che il titolare del trattamento “deve fornire pieno riscontro alla richiesta di accesso formulata dall’interessato, mettendo a disposizione di questi tutti i dati personali che lo riguardano.” (3)
Inoltre, l’Autorità Garante, ha anche stabilito che il diritto di accesso è esercitabile nei confronti di qualsiasi titolare del trattamento e non può essere soggetto a limitazioni ipotizzate dall’Azienda che possono semmai essere invocate in riferimento ad eventuali documenti amministrativi.
I limiti sono analiticamente indicati dalla legge (sono previsti ed elencati tassativamente dall’articolo 8, comma 2 del Codice) (4).
Va solo la pena, in relazione alla materia trattata, precisare che vi può essere esclusione dall’accesso qualora lo stesso possa comportare pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria.
Sotto questo profilo il datore di lavoro va ritenuto avere il diritto di escludere l’accesso a dati qualora ciò possa comportare il pregiudizio per l’esercizio di un proprio diritto di analoga rilevanza.
Le modalità di esercizio dei diritti, disciplinate dall’articolo 8 del Codice, non richiedono particolari formalità. Anzi, il primo comma chiarisce che i “diritti di cui all’articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.”
La norma, piuttosto ermetica, deve essere integrata con l’articolo 9 che disciplina le modalità di esercizio dei diritti. Tale disposizione prescrive che la richiesta deve essere rivolta al titolare o al responsabile mediante lettera raccomandata, telefax o posta elettronica. Viene poi precisato che il Garante potrà individuare altri mezzi idonei con riferimento a nuove soluzioni tecnologiche. Per quanto riguarda l’esercizio dei diritti di cui ai commi 1 e 2 dell’articolo 7, la richiesta può essere formulata anche oralmente e, in tal caso, il responsabile o il titolare, annotano sinteticamente la richiesta stessa.
– – – – – –
Note: tutte le decisioni sono pubblicate sul sito del Garante nelle sezioni indicate
- Decisione del Garante del 8 maggio 2002, pubblicata sul Bollettino n. 28, in Attività dell’Autorità/Pubblicazioni/Bollettini.
- Decisione del Garante del 31 gennaio 2002
- Decisione del Garante del 8 maggio 2002, pubblicata sul Bollettino n. 28, in Attività dell’Autorità/Pubblicazioni/Bollettini.
- Decisione del Garante del 31 gennaio 2002
Il danno da trattamento dei dati
L’articolo 15 sancisce, poi, il diritto dell’interessato al risarcimento del danno ai sensi dell’articolo 2050 del codice civile (responsabilità per l’esercizio di attività pericolosa), in caso di danni derivanti dal trattamento (da ritenersi tuttavia nel solo caso di trattamento improprio) di dati personali.
La norma integra specificamente le previsioni generiche di cui all’art. 2043 c.c., prevedendo la specifica tipologia di danno ingiusto, la cui perpetrazione determina l’obbligo risarcitorio (sia sotto il profilo patrimoniale che, argomentando dalle specifiche previsioni del secondo comma della norma, non patrimoniale).
Il Garante (Newsletter 13 gennaio 2003) ha precisato che la richiesta di risarcimento del danno per violazione della normativa sulla privacy deve essere presentata direttamente all’autorità giudiziaria, non tramite il Garante stesso. Il quale non ha alcun obbligo di effettuare la “trasmissione degli atti” all’autorità giudiziaria ordinaria per il risarcimento del danno.
Il Codice disciplinando espressamente la possibilità alternativa di ottenere la tutela dei diritti emergenti dalla legge da parte dell’autorità giudiziaria ordinaria (art.7), ha introdotto uno specifico procedimento (art. 152) molto snello, instaurabile con ricorso, davanti al tribunale in composizione monocratica, con istruttoria anche piena, governata dal giudice, informale, con discussione orale e decisione immediata.
Nella sentenza può anche disporre dei danni, se vi è richiesta. La sentenza non è appellabile ma ricorribile in cassazione.
Le linee guida per i trattamenti nel rapporto di lavoro e le pronunzie significative dell’Autorità Garante
Con la Deliberazione n. 53 del 23 novembre 2006 il Garante per la protezione dei dati personali ha approvato le Linee Guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati.
Con successiva Deliberazione n. 13 del 1 marzo 2007 l’Autorità ha tracciato le Linee Guida per posta elettronica e Internet.
Il Garante, completando il proprio percorso ha poi emanato delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, con Provvedimento del 14 giugno 2007.
In materia vale la pena ricordare anche:
- Pubblica amministrazione: dati sulla dirigenza e sulle assenze e presenze del personale, 16 luglio 2009
- Graduatorie di concorsi pubblici e dati sensibili, 8 maggio 2008
In tema di lavoro privato, la stessa Autorità Garante, in apposita area del proprio sito, ricorda:
- Lavoro privato: monitoraggio degli accessi Internet del dipendente, 8 aprile 2009
- Lavoro privato: comunicazione di dati idonei a rivelare le condizioni di salute del dipendente, 2 aprile 2009
- Tecnologie per la formazione a distanza e controllo a distanza dei lavoratori, 2 aprile 2008
- Limiti al controllo sulla posta elettronica del dipendente, 2 aprile 2008
- Programmi di fidelizzazione: trattamento di dati personali riferiti al dipendente e loro utilizzo a fini disciplinari, 6 novembre 2008, 2 aprile 2008
- L’azienda non può comunicare a terzi i dati giudiziari riferiti ai collaboratori, 2 aprile 2008
- Internal auditing e trattamento dei dati personali, 25 gennaio 2007
- Trattamento di dati relativi alla gestione del rapporto di lavoro presso un gestore telefonico, 16 novembre 2006
Particolari tipi di trattamenti hanno poi regole speciali.
Così per la c.d. videosorveglianza, a cui alle regole generali (cfr. il Decalogo del 29 aprile 2004 si aggiunge la necessità del rispetto delle regole di cui allo Statuto dei lavoratori, citate e richiamate specificamente dall’art. 114 del Codice Privacy:
- Prescrizioni per la videosorveglianza in un supermercato, 26 febbraio 2009
Analogamente in tema di impiego di sistemi c.d. GPS (sistemi di controllo del geo-posizionamento) sui mezzi aziendali utilizzati dai dipendenti:
- Trasporto pubblico: geolocalizzazione, event data recorder e sicurezza dei passeggeri, 5 giugno 2008
Così per il Trattamento di dati biometrici.
La rilevanza di essi nel rapporto di lavoro si ha soprattutto in materia di accessi al luogo di lavoro od aree dello stesso.
- Biometria e rilevamento della presenza del personale aeroportuale, 12 giugno 2009
- Dati biometrici: vietati per la rilevazione dell’orario di lavoro, 2 ottobre 2008
- Biometria per sicurezza merci e controllo delle presenze presso aeroporti, 26 luglio 2006
- Trattamento di dati biometrici con finalità di verifica della presenza dei dipendenti e di accesso a particolari aree produttive (mulino), 15 giugno 2006 (doc. web n. 1306551, 1306530, 1306523);
- Trattamento dei dati biometrici di dipendenti per incrementare la sicurezza della rete idrica, 15 febbraio 2008
Sul trattamento dei dati giudiziari, cfr. Trattamento di dati giudiziari del personale di società di rating, 31 gennaio 2008.
Casistica di decisioni della Magistratura in tema di privacy
In genere
- Si configura un trattamento di dati personali ai sensi del d.lgs. n. 196/2003 nel caso di installazione di un sistema di rilevazione biometrica (basato sull’archiviazione della geometria della mano) che, attraverso un algoritmo, consenta di risalire al lavoratore al quale appartiene il dato e, quindi, di identificarlo indirettamente. (Cass. 15/10/2018 n. 25686, Pres. Giusti Rel. Picaroni, in Riv. It. Dir. lav. 2019, con nota di A. Rota, “La rilevazione biometrica della presenza in servizio al vaglio della giurisprudenza civile”, 82)
- Il trattamento dei dati personali, ammesso di norma in presenza del consenso dell’interessato, può essere eseguito anche in assenza di tale consenso, se volto a far valere o difendere un diritto in sede giudiziaria o per svolgere le investigazioni difensive; ciò a condizione che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Le registrazioni di colloqui a opera di una delle persone presenti e partecipi a essi, effettuate all’insaputa dei soggetti coinvolti, posto che vengano adottate tutte le dovute cautele al fine di non diffondere le registrazioni, trattandosi di una condotta posta in essere dal dipendente per tutelare la propria posizione all’interno dell’azienda ritenuta pregiudicata dalla condotta altrui, sono legittime e come tali non integrano in alcun modo non solo l’illecito penale ma neanche quello disciplinare. (Cass. 10/5/2018 n. 11322, Pres. Napoletano Rel. Marotta, in Riv. It. Dir. lav. 2018, con nota di G. Fava e R. Parruccini, “La Cassazione si pronuncia sulla legittimità delle registrazioni effettuate da parte dei dipendenti sul luogo di lavoro”, 761)
- Per la violazione dell’art. 8 St. lav. non è necessario sottoporre i dati a un particolare trattamento (utilizzo successivo), poiché la mera acquisizione e conservazione della disponibilità di essi comporta la violazione delle prescrizioni legislative. (Cass. 19/9/2016 n. 18302, Pres. Bernabai Est. Lamorgese, in Riv. It. Dir. Lav. 2016, con nota di C. Criscuolo, “Controlli difensivi e codice della privacy”, e di A. Ingrao, “Il controllo disciplinare e la privacy del lavoratore dopo il Jobs Act”, 26)
- In materia di trattamento dei dati personali, il principio della alternatività del ricorso all’autorità giudiziaria rispetto al ricorso al Garante, previsto nell’ipotesi in cui entrambe le suddette iniziative abbiano il medesimo oggetto, per essere compatibile con l’art. 24 Cost. deve essere inteso in senso specifico e conforme ai principi generali del diritto processuale. Ne consegue che, tutte le volte che si fa valere l’inottemperanza da parte del gestore dei dati personali rispetto ai provvedimenti assunti dal Garante e/o viene proposta una domanda di risarcimento del danno patrimoniale o non patrimoniale – che è riservata all’esame del giudice ordinario e che comunque ha causa petendi e petitum specifici e del tutto diversi rispetto alle ragioni fatte valere con ricorso al Garante – non può certamente ipotizzarsi l’applicazione del suddetto principio di alternatività delle tutele. (Cass. 7/4/2016 n. 6775, Pres. Nobile Rel. Tria, in Lav. nella giur. 2016, con commento di Francesco Di Martino, 893)
- Il diritto del lavoratore di accedere al proprio fascicolo personale è tutelabile in quanto tale, perché si tratta di una posizione giuridica soggettiva che trae origine dal rapporto di lavoro. Tale diritto, nonché l’obbligo del datore di lavoro di custodire “presso l’azienda ovvero l’unità produttiva, la cartella sanitaria e di rischio del lavoratore sottoposto a sorveglianza sanitaria (…)”, consegnandone copia al lavoratore stesso (…) quando lo stesso ne faccia richiesta”, sancita dall’art. 4, comma 8, D.Lgs. 19 settembre 1994, n. 626, non escludono – ma anzi rafforzano – il diritto del lavoratore stesso di rivolgersi al Garante per la protezione dei dati personali tutte le volte che intenda ottenerne alcuno dei provvedimenti. (Cass. 7/4/2016 n. 6775, Pres. Nobile Rel. Tria, in Lav. nella giur. 2016, con commento di Francesco Di Martino, 893)
- Ai sensi degli artt. 4 e 11 del d.lgs. 30 giugno 2003, n. 196, i dati personali oggetto di trattamento vanno gestiti rispettando i canoni della correttezza, pertinenza e non eccedenza rispetto alle finalità del loro nuovo utilizzo. Risulta, quindi, eccedente rispetto al suo scopo un trattamento allorquando il datore di lavoro, pur potendo diversamente dimostrare l’illiceità della condotta di un suo dipendente, consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro, diffonda numerose informazioni, non indispensabili per far valere o difendere un diritto in sede giudiziaria, indicative anche degli specifici contenuti degli accessi ai singoli siti “web” visitati dal medesimo dipendente durante le varie navigazioni. (Cass. 1/8/2013 n. 18443, Pres. Salmè Est. Didone, in Riv. giur. lav. prev. soc. 2014, con nota di A. Mattei, “Trattamento dei dati personali del lavoratore ed esercizio del diritto alla difesa del datore”, 465)
- In materia di trattamento dei dati personali, non è necessario il consenso dell’interessato nei casi indicati dall’art. 24 del d.lgs. 30 giugno 2003, n. 196, fra i quali rientra l’utilizzazione dei dati per far valere o difendere un diritto in sede giudiziaria, sempre che essi siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento (nella specie, la Corte ha ritenuto lecita l’acquisizione e il successivo trattamento di una serie di dati, in particolare il movimento dei conti correnti – riguardanti il vicedirettore di una filiale di un istituto di credito, le cui risultanze avevano portato all’apertura di un procedimento disciplinare a suo carico e al licenziamento per giusta causa; situazione da cui erano conseguiti una controversia di lavoro instaurata a seguito dell’impugnazione del licenziamento e un procedimento penale). Cass. 11/7/2013 n. 17204, Pres. Salmè Est. Didone, in Riv. giur. lav. prev. soc. 2014, con nota di A. Mattei, “Trattamento dei dati personali del lavoratore ed esercizio del diritto alla difesa del datore”, 465)
- Considerata l’articolazione dell’onere della prova nel rito avente a oggetto la verifica della legittimità dell’atto datoriale di recesso e l’esistenza di una situazione precontenziosa tra le parti, dovuta alla contestazione stragiudiziale del licenziamento avanzata dal lavoratore, la conoscenza da parte del dipendente dell’origine delle informazioni poste a base del recesso nonché del nominativo del “responsabile” del trattamento costituisce un pregiudizio effettivo e concreto alla difesa delle ragioni datoriali nella successiva (ed eventuale) “sede” giudiziaria. Pertanto, fino alla costituzione in giudizio, il datore può impedire al lavoratore di conoscere tali informazioni e quindi differire l’esercizio del diritto di accesso da questi invocato ai sensi degli artt. 7 e 8, co. 1, d.lgs. 196/03. Garante per la protezione dei dati personali 13/12/2012 n. 412, Pres. Soro Rel. Bianchi Clerici, con nota di Giovanni Spinelli, “Il datore può differire l’accesso del lavoratore ai dati delle investigazioni per garantirsi il diritto di difesa”, 498)
- Poiché il trattamento dei dati personali deve ispirarsi al canone di trasparenza (si vedano art. 4 Statuto Lavoratori e par. 3 D.Lgs. n. 626/1994), il datore di lavoro ha l’onere di indicare caso per caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati i controlli. (Trib. Ferrara 21/8/2012, Giud. De Curtis, in Lav. nella giur. 2013, 205)
- La nozione di trattamento di dati biometrici rilevante ai fini dell’art. 4, lett. a), Cod. Priv. e dell’art. 37 Cod. Priv. (con riferimento all’obbligo di notifica al Garante) non richiede, come condicio sine qua non, la costituzione di una banca dati. A tal fine è sufficiente infatti che venga effettuata un’attività di estrazione, di confronto e di successiva cancellazione dei dati. Tale conclusione non è solo avallata dall’interpretazione letterale dell’art. 4, lett. a), Cod. Priv., ma trova un’importante conferma in base a un criterio ermeneutico di tipo teleologico, che fa leva sulla particolare delicatezza delle operazioni che, coinvolgendo un segno di identificazione così importante della persona come le impronte digitali, richiedono l’applicazione della disciplina stabilita dal Codice della Privacy. La notificazione del trattamento deve avvenire prima del suo inizio, non rilevando che questo possa essere effettuato solo in prova. (Trib. Prato 19/9/2011, Est. Brogi, in Lav. nella giur. 2012, con commento di Andrea Sitzia, 387)
- I documenti redatti o sottoscritti da un lavoratore costituiscono dati personali a questi riferibili ai sensi dell’art. 2 L. 31/12/96 n. 675, e la loro trasmissione ad altri lavoratori costituisce un trattamento dei dati ai sensi del medesimo art. 2. (Cass. 30/6/2009 n. 15327, Pres. Vidiri Est. Stile, in D&L 2009, con nota di Davide Bonsignorio, “Riservatezza e rapporto di lavoro: gli obblighi del datore di lavoro ex art. 2087 c.c. come limite esterno al diritto del lavoratore alla privacy”, 695)
- Il diritto dell’interessato, sancito dall’art. 11 L. 31/12/96 n. 675, a che i dati che lo riguardano non vengano trattati senza il suo consenso, trova un limite nell’esistenza di altri interessi giuridicamente rilevanti tra cui rientra l’obbligo del datore di lavoro di tutelare ex art. 2087 c.c. la personalità morale del prestatore di lavoro e la serenità dell’ambiente lavorativo (in applicazione di tale principio, la Suprema Corte ha escluso l’illegittimità del comportamento del datore di lavoro che, al fine di consentire ad alcuni lavoratori – fatti segno di scritti anonimi ingiuriosi – di individuare l’autore degli stessi, aveva fornito loro, per consentire una comparazione, alcuni documenti redatto o sottoscritti da un collega sospettato dell’illecito senza chiederne il consenso). (Cass. 30/6/2009 n. 15327, Pres. Vidiri Est. Stile, in D&L 2009, con nota di Davide Bonsignorio, “Riservatezza e rapporto di lavoro: gli obblighi del datore di lavoro ex art. 2087 c.c. come limite esterno al diritto del lavoratore alla privacy”, 695)
- Il dipendente che inserisce dati personali in un luogo non proprio o utilizza abusivamente strumentazioni di proprietà dell’azienda, contravvenendo a un esplicito divieto di questa, non può invocare il diritto alla privacy per contestare eventuali attività datoriali di controllo, contestazione e sanzione delle condotte illecite. L’inutilizzabilità dei dati personali reperiti in violazione della disciplina vigente in materia è riferibile unicamente ai destinatari delle prescrizioni del Codice della privacy e non si converte in divieto probatorio per il giudice. (Trib. Torino 8/1/2008, Giud. Ciocchetti, in Riv. it. dir. lav. 2008, con nota di R. Imperiali, “Privacy e controllo sull’utilizzo di cellulare e computer aziendali a fini personali: un difficile equilibrio”, 845)
- Non commette il reato di violazione di corrispondenza di cui all’art. 616 c.p. il datore di lavoro che prenda cognizione della corrispondenza informatica di un dipendente qualora disponga legittimamente della chiave informatica di accesso posta a protezione del computer e della corrispondenza del dipendente, anche in caso di violazione delle condizioni cui è sottoposta la legittimità dell’accesso. (Cass. pen. 19/12/2007 n. 47096, Pres. Pizzuti Est. Nappi, in D&L 2008, con nota di Giovanni Luca Bertone, “Sul controllo della corrispondenza informatica del lavoratore, 361 e inDir. e prat. lav. 2008, 312)
- Il particolare ambito lavorativo e la delicatezza delle funzioni attribuite al lavoratore (nel caso specific: vicedirettore di filiale bancaria) giustificano le indagini sulla sua affidabilità e corretteza personale, anche extralavorativa: è pertanto consentito l’uso da parte del datore di lavoro dei dati raccolti all’esito di ispezione interna, sia nello svolgimento del rapporto contrattuale, ai fini della specifica contestazione degli addebiti ex art. 7 St. lav., sia al fine della tutela giudiziaria dei propri diritti ex art. 24, lett. f), d.lgs. n. 196/2003. (Trib. Milano 9/12/2007, Giud. Gandolfi, in Riv. it. dir. lav. 2008, con nota di Stefano Caffio, “Poteri datoriali e tutela della riservatezza del lavoratore: note a margine di una sentenza di merito”, 838)
- La giurisdizione, per le finalità istituzionali che persegue e per la rilevanza costituzionale che le attribuisce la Carta Costituzionale, si colloca in un ambito tale da rendere a essa inapplicabili i vincoli e i limiti previsti da numerose e qualificanti disposizioni del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), le quali non hanno nè possono avere come destinatario il giudice, sotto pena di veder vanificato l’accertamento processuale e frustrate le esigenze di giustizia cui esso mira. (Trib. Torino 28/9/2007, Est. Ciocchetti, in ADL 2008, con nota di Iarussi, “L’utilizzabilità delle prove acquisite a sostegno del licenziamento disciplinare: tra potere datoriale (e del giudice) e diritto alla riservatezza del lavoratore”, 1265)
- Nel rapporto di lavoro subordinato, il trattamento di dati finalizzato all’esercizio del potere disciplinare è legittimo, anche senza il consenso dell’interessato, ogniqualvolta il trattamento si configuri come necessario per l’esecuzione di obblighi previsti da legge, regolamento o normativa comunitaria, nonchè derivanti da contratti di cui è parte l’interessato, a condizione che il trattamento sia pertinente e non eccedente rispetto alle finalità per le quali i dati stessi sono stati raccolti e successivamente impiegati. (Garante per la protezione dei dati personali 5/10/2006, Pres. Pizzetti, in Riv. it. dir. lav. 2007, con nota di Claudia Faleri, “Sulla tutela della riservatezza del lavoratore nelle indagini preliminari al procedimento disciplinare: un intervento del Garante per la protezione dei dati personali”, 374)
- In caso di trattamento di dati personali, costituisce un limite alla protezione del diritto alla riservatezza l’esigenza di protezione di altre posizioni soggettive giuridicamente rilevanti; in particolare, è consentito derogare all’obbligo del consenso del soggetto interessato ogniqualvolta il trattamento dei dati si riveli necessario per la protezione di altri diritti fondamentali (nel caso specifico è stata ritenuta legittima l’utilizzazione, ai fini della perizia grafologica su di una scrittura anonima, di una scrittura firmata dal lavoratore). (Corte app. Milano 21/6/2005, Pres Est. De Angelis, in Riv. it. dir. lav. 2006, con nota di Claudia Faleri, “Sulla legittimità dell’utilizzazione di una scrittura del lavoratore ai fini di una perizia grafologica: una questione di contemperamento di tutele tra diritto alla riservatezza e altri diritti della persona”, 81)
- Il diritto alla riservatezza discende direttamente dall’art. 2 Cost. e rappresentava una situazione giuridica tutelata anche prima della disciplina sulla tutela della privacy (L. n. 678/1996). (Cass. 23/8/2004 n. 16628, Pres. Sciarelli Rel. Amoroso, in Lav. nella giur. 2005, 79)
- La messa a disposizione degli elenchi dei dipendenti aventi diritto al voto per consentire lo svolgimento della procedura per le elezioni della RSU costituisce un preciso obbligo del datore di lavoro il cui adempimento non comporta violazione del diritto alla privacy dei dipendenti. Invero, la tutela garantita al singolo dalla L. n. 675/1996 va in sostanza bilanciata con la tutela assicurata ai diritti aventi per l’ordinamento pari rilevanza ed ai soggetti portatori di questi diritti; quindi, nel caso specifico, il diritto alla privacy del singolo lavoratore va messo in correlazione con quello attribuito alle organizzazioni sindacali di procedere alla consultazione elettorale all’interno del luogo di lavoro per pervenire all’elezione delle RSU e con il più ampio diritto costituzionale all’esercizio delle libertà sindacali. (Trib. Milano 1/6/2004, Est. Bianchini, in Lav. nella giur. 2005, 186)
- Il diritto di accesso ex art. 13, l. 31 dicembre 1996, n. 675, deve essere coordinato con la libertà di iniziativa economica sancita dall’art. 41 Cost. Per tale motivo, va negato ai lavoratori dipendenti l’accesso alle schede di valutazione predisposte dal datore di lavoro sul loro conto, in quanto costituiscono dato personale le valutazioni finali del dipendente (note di qualifica), ma non le operazioni effettuate per giungere a queste ultime, non soltanto per il carattere soggettivo, che ne esclude il carattere di dato personale a norma dell’art. 1, secondo comma, lett. c), l. n. 675/1996, ma anche e soprattutto perché le schede di valutazione non identificano ancora la persona, essendo solo parte dell’iter di formazione della valutazione, la quale può essere modificata con la nota di qualifica finale. (Trib. Roma 25/7/2002, Pres. Bucci, Est. Ienzi, in Riv. it. dir. lav. 2003, 353, con nota di Stefania Brun, Valutazioni sul lavoratore e diritto di accesso ex art. 13, l. n. 675/1996)
- Va annullato il provvedimento con il quale il Garante per i dati personali ha disposto l’accesso di lavoratori dipendenti alle schede di valutazione predisposte dal datore di lavoro in quanto queste ultime costituiscono valutazioni soggettive, espressione dei diritti costituzionalmente garantiti dalla libertà di pensiero e di organizzazione del datore di lavoro con i quali il diritto alla riservatezza deve coordinarsi. (Trib. Roma, 28/6/2002, Pres. Bucci, Est. Ienzi, in Dir. informazione e informatica 2003, 319)
- Per effetto dell’ampia definizione di dato personale introdotta dalla direttiva comunitaria n. 95/46/CE e dall’art.1, comma 2, lett. c), della l. n. 675/96, quest’ultima legge è applicabile non solo ai dati personali di tipo oggettivo, ma anche ad informazioni personali contenute nell’ambito di valutazioni soggettive, riportate in supporti di vario tipo (sia cartaceo, sia automatizzato), conservate o meno in archivi strutturati. L’art. 13, l. n. 675/96 e l’art. 17 del D.P.R. n. 501/98 non prevedono il necessario rilascio di copie di atti ed obbligano, più precisamente, il titolare o il responsabile del trattamento ad estrapolare dai propri archivi e documenti i dati personali detenuti su supporto cartaceo o informatico, che riguardano il richiedente, e a riferirli a quest’ultimo con modalità idonee a renderli agevolmente comprensibili. L’accesso, quindi, non obbliga ad esibire o a copiare intera,mente ogni singolo atto, ma rende necessario estrarre dagli atti e dai documenti tutte le informazioni di carattere personale relative all’interessato (cfr. provvedimento del Garante 23/6/98, in Bollettino del Garante, 5, 20). Solo quando l’estrazione di tali dati risulti particolarmente difficoltosa, l’adempimento alla richiesta di accesso può avvenire anche tramite l’esibizione e/o la consegna in copia della documentazione. Essendo stata manifestata, nel caso di specie, dalla Società la disponibilità a consentire la diretta visione da parte del ricorrente della “cartella personale” presso gli uffici aziendali, dalla stessa l’interessato potrà visionare ed estrarre eventualmente copia dei dati personali che lo riguardano, anche avvalendosi di persona a ciò delegata (art. 20, comma 2, D.P.R. n. 501/98) o facendosi assistere da persona di sua fiducia (art. 20, comma 4, D.P.R. cit.), con la conseguenza che per tale aspetto delle richieste non si adotta provvedimento ordinativo. Si fissa invece il termine congruo del 28/2/02, per corrispondere da parte della Società alle richieste del ricorrente (non ancora assolte) di conoscere dati personali (non inseriti nella “cartella personale”) altrove detenuti, così come di conoscere gli estremi identificativi del titolare e del responsabile del trattamento dati, nonché di ottenere la comunicazione dell’origine, della logica e della finalità del trattamento dei dati stessi (Garante per la protezione dei dati personali 19/12/01, pres. Rodotà, in Lavoro e prev. oggi 2002, pag. 174)
- La diffusione dei dati personali attraverso cartellini identificativi utilizzati nei rapporti con gli utenti o i clienti è una forma di trattamento dei dati personali e, pertanto, deve essere conforme ai principi di pertinenza e di non eccedenza (Trib. Milano 6/12/00, est. Santosuosso, in Riv. it. dir. lav. 2001, pag. 279, con nota di Ogriseg, Diritto del lavoratore al nome e diritto a non farlo conoscere a terzi)
- L’imposizione di esporre un cartellino identificativo, contenente nome e cognome, in presenza di un manifestato dissenso del lavoratore, costituisce una forma di abuso del diritto al nome e, comunque, è illegittima, poiché invade una sfera della persona che va oltre gli obblighi contrattuali (Trib. Milano 6/12/00, est. Santosuosso, in Riv. it. dir. lav. 2001, pag. 279, con nota di Ogriseg, Diritto del lavoratore al nome e diritto a non farlo conoscere a terzi)
- Nella definizione legislativa di “dato personale” rientrano anche le valutazioni operate dal datore di lavoro in merito all’attività dei dipendenti, ma non i documenti relativi alle operazioni effettuate al fine di giungere alla valutazione complessiva; pertanto il lavoratore subordinato non ha diritto ad apprendere i nominativi dei superiori gerarchici i quali abbiano espresso valutazioni negative, poiché tale estensione condurrebbe ad una violazione del diritto alla riservatezza e del diritto del datore di lavoro al controllo sullo svolgimento dell’attività lavorativa. (Trib. Fermo ordinanza 11/10/00, pres. Alianello, in Argomenti dir. lav. 2001, pag. 705)
- Posto che: a. il trattamento di dati personali idonei a rivelare lo stato di salute, ove sia effettuato per far valere in sede giudiziaria un diritto di rango pari a quello degli interessati, non richiede il consenso di questi ultimi ed è coperto dall’autorizzazione rilasciata in via generale dal Garante per la protezione dei dati personali; b. il diritto alla prova, in quanto diretta espressione del diritto di azione, non può considerarsi di rango inferiore a quello dei soggetti, terzi rispetto alla lite, i cui dati sono contenuti nei documenti da acquisire in giudizio, va accolto il reclamo avverso il provvedimento con cui era stata rigettata la richiesta di sequestro giudiziario dei referti clinici eseguiti presso un laboratorio e firmati dal ricorrente, il quale prospettava l’utilità probatoria di tali documenti nell’instauranda controversia di merito, finalizzata ad ottenere le retribuzioni spettantigli in qualità di direttore responsabile del laboratorio (Trib. Bari 12/7/00 ord., pres. Ancona, in Foro it. 2000, pag.2989, con nota di Palmieri, Il contemperamento tra “privacy” e diritto di difesa: una pluralità di criteri in relazione alla natura dei dati)
- L’azienda che custodisca nei propri archivi o fascicoli personali dei dipendenti le loro informazioni personali è tenuta su richiesta degli stessi, ai sensi dell’articolo 13 L. n. 675/1996, a metterle a disposizione e a fornirne comunicazione – nel caso di specie – all’ex dipendente che l’abbia espressamente richieste, ivi inclusi gli attestati afferenti ai corsi di formazione professionale, i giudizi e le note di qualifica, le assicurazioni contratte in corso di rapporto e quant’altro costituisca dato personale ai sensi di legge, incorrendo in caso di inosservanza delle prescrizioni statuite con la presente decisione nella sanzione penale da 3 mesi a 2 anni di reclusione, ai sensi dell’articolo 37 L. 675/1996 (Garante per la protezione dei dati personali 12/6/00, pres. Rodotà, Rel. Santaniello, in Lavoro e prev. Oggi 2000, pag. 1476, con nota di Meucci, Diritto del lavoratore di acquisizione di “dati personali” custoditi dal datore di lavoro nel fascicolo personale)
- La disposizione dell’art. 24, comma 3, d.p.r. 3/5/57, n. 686, che fa obbligo di pubblicare sul bollettino mensile dei Ministeri, fra il resto, gli atti relativi ai “provvedimenti coi quali sono inflitte sanzioni disciplinari” non può essere ritenuta in contrasto con la legge sulla protezione dei dati personali, atteso che l’art. 27, comma 3, l. n. 675/96 legittima la diffusione di dati personali anche a privati (come avviene in tutte le ipotesi di pubblicazioni di informazioni a mezzo stampa) qualora tale modalità di diffusione trovi riscontro in norme di legge o di regolamento, così come avviene nel caso di specie (Garante per la protezione dei dati personali 9/3/00, pres. Rodotà, est. Manganelli, in Lavoro nelle p.a. 2001, pag. 411, con nota di Chieco, Diffusione delle sanzioni disciplinari e privacy del lavoratore pubblico)
- La valutazione della prestazione del dipendente operata dal datore di lavoro rientra nella nozione di dato personale ai sensi dell’art. 1 L. 31/12/96, n. 675 e pertanto rispetto ad essa sono esercitabili i diritti attribuiti agli interessati dall’art. 13 della stessa legge; diversamente le operazioni effettuate al fine di giungere alla valutazione costituiscono solo una parte dell’iter complessivo di formazione della valutazione e, conseguentemente, rimangono esclusi dal cosiddetto diritto di accesso (Trib. Fermo 26/10/99, pres. e est. Alianello, in Argomenti dir. Lav. 2000, pag. 166)
- Il datore di lavoro non ha diritto di prendere visione della documentazione dell’Inail concernente la dipendenza da causa di servizio di un incidente occorso a un dipendente, poiché la tutela del diritto alla riservatezza prevale sull’interesse del datore di lavoro di partecipare al procedimento (Cons. Stato 5/1/95 n. 12, pres. Salvatore, est. Torsello, in D&L 1995, 601)
- Anche nell’ipotesi di violazione del divieto sancito dall’art. 4 SL piena efficacia probatoria va comunque riconosciuta ai documenti conseguiti mediante gli impianti audiovisivi (Pret. Napoli, sez. Afragola, 3/5/94, est. Vinciguerra, in D&L 1995, 424, nota PERRINO, Prova atipica e prova (probabilmente) illecita a sostegno del convincimento del giudice)