Con deliberazione n. 53 del 23 novembre 2006 (pubblicata in G.U., 7 dicembre 2006, n. 285) il Garante per la protezione dei dati personali (Presidente il Prof. F. Pizzetti) ha adottato le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”.
Il provvedimento, molto atteso dagli studiosi del settore e, soprattutto, dagli operatori (uno dei consideranda della delibera rammenta espressamente i numerosi «reclami, segnalazioni e quesiti» formulati in proposito da lavoratori, organizzazioni sindacali ed imprese), non contiene, per la verità, novità di grande rilievo (eccettuata una prescrizione di carattere cogente, su cui in seguito), ma si apprezza particolarmente in quanto assai utile a sistematizzare in un unico documento un complesso di indicazioni sul tema tanto delicato del trattamento dei dati personali dei lavoratori dipendenti da datori di lavoro privati.
In proposito vanno svolte due precisazioni: innanzitutto, non deve sorprendere la circostanza testé richiamata relativa alla scarsa innovatività del testo qui in esame. Infatti, rinviando agli ormai copiosi studi per gli opportuni approfondimenti sulla vexata quaestio dei poteri normativi riconoscibili e riconducibili in capo alle Autorità di vigilanza, sempre più la loro opera, come è stato registrato dalla dottrina sulla base dell’osservazione empirica del fenomeno, riveste carattere pretorio, para-giurisprudenziale: sovente, cioè, l’attività di questi organismi (fra cui va annoverato il Garante per la privacy) rappresenta lo svolgimento rispetto al caso concreto di norme già puntualmente e piuttosto dettagliatamente poste dal Legislatore (nel caso de quo, naturalmente, il riferimento è soprattutto al D. Lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali”). Da ciò discende, quasi come naturale conseguenza, il carattere soprattutto “ricognitivo” delle indicazioni in esame, perlopiù già emerse in singole fattispecie sottoposte all’attenzione del Garante. Concludendo sul punto, quindi, va rilevato che, eccettuata la parte della Guida concernente «Dati biometrici ed accesso ad “aree riservate”» (cap. 4), avente carattere propriamente prescrittivo e dalla cui inosservanza conseguono sanzioni penalmente rilevanti (su cui infra), le Linee de qua difettano certamente della «forza» di legge, benché aspirino a porsi, sulla scorta del decisum di precedenti provvedimenti, come direttive di orientamento per tutti gli operatori che si trovano a gestire dati nell’ambito del rapporto di lavoro.
E tuttavia, ed è l’altra notazione che merita di essere rimarcata, quanto detto non svilisce affatto l’importanza di queste Linee guida e la positiva valutazione che ne deve essere fornita: questo sforzo di sistemazione posto in essere dal Garante è certamente meritevole di lode, tanto più quando interviene a rafforzare garanzie dei diritti nel settore del lavoro privato, con uno specifico riferimento sinanche al trattamento dei dati biometrici, «considerati i maggiori rischi specifici che esso pone per i diritti e le libertà fondamentali, nonché per la dignità degli interessati».
Questa guida costituisce, quindi, un importante contributo al radicamento della cultura della tutela della riservatezza nei luoghi di lavoro privato. Va del resto osservato come questa deliberazione si situi nell’alveo delle previsione di cui all’art. 154, comma 1, lett. h) del Codice della privacy, secondo cui il Garante provvede a «curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati»; in tal senso, lo stesso Presidente Pizzetti, presentando la guida, ha garantito che ancora altre ne seguiranno su specifiche tematiche particolarmente bisognose di attenzione, quali l’utilizzo (giuridicamente) corretto delle e-mail e la navigazione in Internet.
Venendo quindi ai contenuti principali delle Linee guida, assai ricche, per le ragioni sopra esposte, di riferimenti a precedenti decisioni assunte dal Garante, il primo profilo ad essere messo in luce (nella «Premessa», cap. 1) concerne le tipologie di dati personali che vengono in rilievo nello svolgersi del rapporto di lavoro: si possono infatti distinguere dati strettamente connessi allo svolgimento dell’attività lavorativa (quali «la tipologia del contratto; la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di provvedimenti “ad personam”; l’ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali; l’assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti disciplinari») e dati più strettamente inerenti il lavoratore in quanto individuo, persona (quali «dati anagrafici, dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche nei contratti collettivi»). Qualunque ne sia la tipologia, in base al «Rispetto dei principi di protezione dei dati personali» (cap. 2), detti dati devono essere trattati dal datore di lavoro sulla scorta dei principi di necessità, liceità e trasparenza (di cui già, ex multis, negli artt. 3, 11 e 13 del Codice); per i dati di carattere personale, tuttavia, il trattamento è consentito solo nei casi in cui ciò sia strettamente indispensabile per dare esecuzione al rapporto di lavoro: questa categoria di dati, maggiormente bisognosa di tutela, gode conseguentemente di una garanzia rafforzata.
Un’ altra indicazione preziosa ai fini della concreta operatività del Codice deriva poi dal cap. 3, concernente «Titolare e responsabile del trattamento»: il Garante ha modo di precisare che l’individuazione del soggetto titolare del trattamento (di cui all’art. 4, comma 1, lett. f)) va svolta sulla base di un criterio che si potrebbe definire “sostanzialistico”, in quanto a rilevare è «l’effettivo centro di imputazione del rapporto di lavoro, al di là dello schema societario formalmente adottato». L’Autorità si risolve a fornire tale indicazione avendo rilevato l’oggettiva difficoltà di individuare detto soggetto alla stregua della mera definizione codicistica, «specie nelle realtà imprenditoriali più articolate»: si pensi, ad esempio, al caso dei gruppi di imprese che «hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori. Tuttavia, nell’ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge». E’ di adamantina evidenza la difficoltà sopra accennata, la quale sovente si pone di ostacolo per l’effettivo esercizio dei diritti del soggetto interessato (in queste ipotesi, il lavoratore) di cui all’art. 7 del D. Lgs. n. 196/2003. Ancora sull’ambito soggettivo di quanti sono coinvolti, a qualsiasi titolo, nello svolgersi del rapporto di lavoro, occorre evidenziare come le Linee guida rafforzino altresì la condizione di indipendenza e di autonomia del medico competente allo svolgimento delle visite mediche obbligatorie disposte in conformità delle leggi in materia di sicurezza ed igiene del lavoro: questi, infatti, nel prestare il proprio servizio, è tenuto a comunicare al datore di lavoro del soggetto sottoposto a controllo solo «la valutazione finale circa l’idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni». Il datore di lavoro non può, cioè, conoscere le eventuali patologie accertate dal medico. In altre residuali ipotesi è la legge a permettere al datore di lavoro di conoscere i dati sanitari del lavoratore al fine di consentirgli di fruire di determinati congedi (ad esempio in caso di sottoposizione a cure riabilitative per i tossicodipendenti) oppure dei familiari del lavoratore (come nel caso dei congedi per persone handicappate). Anche in tali ipotesi, comunque, i dati devono essere trattati nel rispetto del principio di pertinenza e cioè al solo limitato scopo di dare corso ai benefici di legge per i lavoratori stessi.
Il cap. 5 ribadisce il criterio cardine dell’intera disciplina sulla privacy, secondo cui la «Comunicazione e diffusione di dati personali» di un lavoratore (questo il titolo del capitolo) è ammessa solo se l’interessato vi acconsente, e ciò anche con specifico riferimento all’apposizione di notizie in bacheche o nell’Intranet aziendale. Mancando tale autorizzazione, la divulgazione può avvenire «solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro», ex art. 24, comma 1, lett. b) del Codice: si pensi, ad esempio, ai casi, ammessi, in cui è necessario comunicare alla generalità dei lavoratori ordini di servizio, turni lavorativi o feriali, individuazioni di mansioni, etc. E’ in ogni caso consentita la «facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori». Può tuttavia risultare ammissibile, soprattutto in forza di contratti che dispongano in tal senso, l’utilizzo di cartellini identificativi appuntati sulla divisa del lavoratore, benché sia consigliabile che su di essi risulti il solo nome o, ancora meglio, un codice meccanografico, che solo successivamente ed in via mediata consenta di risalire all’identità del soggetto.
Le indicazioni di cui al cap. 6 («Dati idonei a rivelare lo stato di salute dei lavoratori») richiamano in parte quanto già osservato con riferimento al medico competente per gli accertamenti sanitari periodici: in presenza di uno stato di malattia, il lavoratore ha l’obbligo di consegnare l’attestato di malattia al datore di lavoro, necessariamente recante solo l’indicazione dell’inizio e della durata presunta dell’infermità (c.d. prognosi). Una specifica indicazione della malattia (c.d. diagnosi) va comunicata al datore allorquando si verifichino infortuni sul lavoro, al fine di consentire a quest’ultimo di provvedere ai successivi obblighi di comunicazione (all’INPS, all’autorità di PS, etc.) imposti dalla legge.
I cap. 7, 8 e 9 (dedicati rispettivamente a «Informativa», «Misure di sicurezza» e «Esercizio dei diritti previsti dall’art. 7 del Codice e riscontro del datore di lavoro»), ribadiscono quasi pedissequamente il contenuto di disposizioni già presenti nel Codice della privacy e completano il complesso delle indicazioni fornite dal Garante.
Un cenno a parte, per l’assoluta specificità all’interno delle Linee guida, merita infine il cap. 4, relativo a «Dati biometrici ed accesso a “aree riservate”»: le misure descritte, a differenze di tutte le altre esaminate sinora, in forza del combinato disposto degli artt. 17, «Trattamento che presenta rischi specifici» e 167, comma 2, «Trattamento illecito di dati», hanno carattere cogente e la loro inosservanza produce cioè conseguenze penalmente rilevanti. Ex art. 17, infatti, per la disciplina di determinati trattamenti riguardanti dati, diversi da quelli sensibili e giudiziari, che presentano specifici rischi, il Garante è competente a prescrivere «misure ed accorgimenti», che, se disattesi, comportano per il datore di lavoro addirittura la pena detentiva della reclusione (trattasi quindi, stante la terminologia utilizzata, di vero e proprio delitto). Nel caso de quo il Garante si è avvalso del potere prescrittivo riconosciutogli dalla legge: nel disciplinare il trattamento dei dati biometrici (di quei dati, cioè, che consentono di risalire all’identificazione della persona sulla base di alcune caratteristiche naturali dell’individuo stesso, quali il timbro della voce, le impronte digitali, la conformazione dell’iride e simili) ha avuto modo di precisare che: 1) il ricorso all’utilizzo di tali dati è giustificato solo in casi specifici (processi a rischio; accesso ad aree riservate; tutela di particolari tipi di segreto); 2) ne è vietato quindi un uso generalizzato e indiscriminato; 3) è necessario sempre il consenso del lavoratore; 4) non è mai ammessa la costituzione di banche dati centralizzate, essendo sufficiente la memorizzazione di tali dati su supporti di controllo non centralizzati (ad esempio su una smart card).
Il ricorso del Garante al potere di cui all’art. 17, comma 2, e la conseguente specificazione da parte sua degli elementi criminosi della fattispecie, solo genericamente individuati dal comma 1 del medesimo articolo dal legislatore (un vero e proprio rinvio mobile) è, evidentemente, di straordinario interesse per lo studioso: per il penalista, per la classica tematica della etero-integrazione della norma incriminatrice; per il costituzionalista, per le ben note conseguenze sistemiche sulla tenuta (e sulla crisi) dell’ordinamento giuridico dello Stato rappresentativo.