Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy dei dipendenti: richiamo del Garante

Nella Newsletter del 28/11/2013 il Garante Privacy ribadisce l’importanza della tutela dei dati personali delle persone fisiche, in particolare i dati di tipo sensibile: “i dati personali, specie se sensibili, devono essere comunicati, anche nell’ambito del rapporto di lavoro, esclusivamente  alle persone o agli uffici che ne possono legittimamente avere conoscenza”.

L’articolo richiama una serie di provvedimenti che comportano un errato trattamento di dati appartenenti a dipendenti di Pubbliche Amministrazioni, con particolare riferimento alla comunicazione di dati a personale non autorizzato.

Il “principio di necessità” è alla base di tutta la disciplina in materia di privacy, da applicare ogni qual volta che viene comunicato un dato a soggetti diversi dall’interessato; come indicato all’art. 3 del D.Lgs.196/03: “ è necessario ridurre al minimo l’utilizzazione di dati personali e dati identificativi in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o opportune modalità che permettano di identificare l’interessato”.

Nei casi citati dal Garante si riscontra la violazione di tale principio:
– comunicazione ai colleghi della liquidazione del premio di risultato al personale di un dipendente, unitamente alle note valutative ed alle sanzioni disciplinari;
– invio di una mail ai dipendenti da sottoporre a ulteriori accertamenti sanitari per verificare se continuava a sussistere l’idoneità al lavoro, ma anche a vari uffici non competenti sulla questione;
– invio di una nota di sollecito al Comitato di verifica per le cause di servizio di dieci dipendenti, tramite mail in copia a tutti i dipendenti.

Sulla base del principio di necessità, le comunicazioni dei dati dei dipendenti a soggetti diversi dagli interessati devono essere effettuate solo se necessario o previsto da norme o regolamenti di legge, sempre  a seguito di:
– opportuna informativa all’interessato sulle modalità di trattamento ed i soggetti incaricati (art. 13 D.Lgs. 196/03, salvo le esclusioni previste dal comma 5 dello stesso art. 13);
– incarico specifico che autorizza il soggetto a trattare quel tipo di dato;
– adozione delle misure minime di sicurezza, indicate nell’allegato B del D.Lgs. 196/03.

Gli adempimenti sopra elencati riguardano tutti i soggetti che trattano dati di persone fisiche, indipendentemente se trattasi di soggetti pubblici o di soggetti privati. A tal fine è importante ricordare di non abbassare la guardia in materia di privacy.

Sebbene a seguito della semplificazione  avvenuta con il D.Lg. 05/2012 sono state abrogate le disposizioni relative all’obbligo di redarre il Documento Programmatico sulla Sicurezza dei dati (DPS), restano invariate tutte le responsabilità a carico del Titolare del Trattamento e le altre misure minime di sicurezza come ad esempio:
– obbligo di informativa agli interessati;
– nomina/autorizzazione degli incaricati del trattamento in base ai compiti assegnati;
– utilizzo e tutela delle password;
– adozione di misure di protezione degli strumenti elettronici;
– back-up dei dati.

È tutt’ora in fase di approvazione da parte della Commissione Europea un Regolamento in materia di “Data Protection” che sarà direttamente applicabile in Italia e abrogherà il D.Lgs. 196/03. Si consiglia di mantenere aggiornata la redazione del DPS o di predisporre un documento che racchiuda tutte le policy da adottare in materia di trattamento dati, in modo da non farsi trovare impreparati.