Poco prima della pausa estiva, il nostro Garante ha dato esecuzione a quanto previsto dall’art. 21 del D.lgs. 101/2018, informandoci della pubblicazione del proprio Provvedimento di carattere generale “recante le prescrizioni relative al trattamento di categorie particolari di dati” (potete trovare il testo integrale nella sezione “Documenti utili” del Blog, cliccando qui).
Per chi non abbia molta voglia di andare a consultarlo, ricordo che l’art. 21 stabiliva che il Garante dovesse, con proprio “provvedimento di carattere generale da porre in consultazione pubblica”, individuare le prescrizioni contenute nelle autorizzazioni generali già adottate in alcune materie che fossero compatibili con il GDPR, provvedendo, se del caso, al loro aggiornamento.
Quel Provvedimento generale è finalmente giunto alla conclusione del suo iter ed è stato pubblicato in Gazzetta Ufficiale, senza troppe cerimonie, il 29 luglio 2019, giusto in tempo per lasciarci qualcosa da leggere sotto l’ombrellone.
In sintesi, il Provvedimento generale del Garante in merito al trattamento di categorie particolari di dati, si occupa dei seguenti argomenti:
- prescrizioni relative al trattamento nei rapporti di lavoro (con riferimento all’autorizzazione generale 1/2016);
- prescrizioni relative al trattamento da parte degli organismi di tipo associativo, fondazioni, chiese e comunità religiose (con riferimento all’autorizzazione generale 3/2016); ;
- prescrizioni relative al trattamento da parte degli investigatori privati (con riferimento all’autorizzazione generale 6/2016); ;
- prescrizioni relative al trattamento dei dati genetici (con riferimento all’autorizzazione generale 8/2016);
- prescrizioni relative al trattamento per scopi di ricerca scientifica (con riferimento all’autorizzazione generale 9/2016).
Oggi voglio soffermarmi sulle prescrizioni relative ai trattamenti di categorie particolari di dati nei rapporti di lavoro, per gli evidenti diffusi riflessi pratici di questo tipo di trattamenti, riservandomi, però, di analizzare anche le altre tipologie di trattamento oggetto del Provvedimento in futuri articoli del Blog, dato che vi sono spunti interessanti da segnalare anche per queste altre.
Il Provvedimento del Garante si denota per una gradita concretezza e specificità, probabilmente frutto anche dei suggerimenti e spunti di riflessione acquisiti durante la fase di consultazione pubblica.
Del Provvedimento, mi sembra utile segnalare:
- l’ambito soggettivo: sono, infatti, interessati dal Provvedimento le agenzie per il lavoro e tutti quei soggetti che svolgono attività di intermediazione, ricerca e selezione del personale; tutti gli enti che utilizzano, a qualsiasi titolo, prestazioni lavorative, anche atipiche; gli organismi paritetici che gestiscono osservatori in materia di lavoro; i rappresentanti dei lavoratori per la sicurezza; i consulenti del lavoro e tutti coloro che curano gli adempimenti in materia di lavoro; le associazioni e tutti gli enti in genere rappresentativi di categorie di datori di lavoro; i medici competenti;
- le categorie di interessati: il Provvedimento si applica ai candidati, ai lavoratori occupati con qualsiasi forma contrattuale (compresi i praticanti per l’abilitazione professionale), i consulenti e liberi professionisti; i lavoratori autonomi che hanno rapporti di collaborazione con qualsiasi committente; le persone fisiche che ricoprono cariche sociali in persone giuridiche o enti; i terzi danneggiati nell’esercizio dell’attività lavorativa o professionale; i terzi (compresi familiari e conviventi dei lavoratori) per il rilascio di agevolazioni e permessi.
In tale contesto di operatività, il Provvedimento del Garante descrive e disciplina:
a) quali sono le finalità di trattamento dei dati particolari consentite “solo se necessario”;
b) quali dati particolari possono essere trattati nella fase preliminare di assunzione;
c) quali dati particolari possono essere trattati nel corso del rapporto di lavoro (con particolare riferimento a quelli religiosi, politici e sindacali);
d) quali dati particolari non possono essere trattati, neppure con il consenso dell’interessato (dati genetici);
e) quali sono le corrette modalità di trattamento consentite (dove devono essere raccolti, con quali mezzi possono essere comunicati, etc.).
Non posso, per ovvi motivi di spazio (mio) e di tempo (vostro), dilungarmi nei dettagli dei singoli aspetti presi in considerazione dal Provvedimento Generale del Garante nell’ambito dei rapporti di lavoro, che potrete, occorrendo, approfondire direttamente leggendone il testo nella Sezione “documenti utili” del Blog.
Ritengo, comunque, apprezzabile che il Provvedimento, pur senza innovare o stravolgere in modo significativo l’impianto della precedente autorizzazione generale, consenta di mettere dei punti fermi su alcuni argomenti che, a distanza di oltre un anno dall’entrata in vigore del GDPR, ancora suscitavano, da parte di alcuni, interpretazioni fuorvianti, discutibili e, in qualche caso, anche improbabili.
E’ sicuramente un Provvedimento che deve essere conosciuto da tutti coloro che operano a contatto con le imprese ed il mondo del lavoro ed il cui contenuto spero di contribuire a diffondere, dato che la pubblicazione è avvenuta in concomitanza con l’inizio, per molti, del periodo di ferie estive, che sicuramente non è stato uno dei più congeniali per attirare l’attenzione.