Nuove prescrizioni del Garante Privacy sul trattamento di categorie particolari di dati
Con provvedimento n. 146/2019 pubblicato in piena estate (e forse passato per questo in sordina), il Garante per la protezione dei dati personali ha dettato prescrizioni specifiche per il trattamento delle c.d. categorie particolari di dati, ottemperando così all’art. 21 d. lgs 101/2018 che demandava all’Autorità l’adozione di un provvedimento generale di adeguamento al GDPR per alcune tipologie di trattamento. In questo articolo si evidenzieranno i punti di principale interesse del provvedimento. Vale la pena, preliminarmente, ricordare che nella terminologia del GDPR le “categorie particolari di dati” corrispondono in larga parte ai cosiddetti “dati sensibili” di cui al Codice dei dati personali italiano nella versione previgente alla recente riforma, e, dunque, i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici e i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Si tratta di categorie di dati che in alcuni ambiti – ad esempio, quello del rapporto tra datore di lavoro e dipendenti – non si può fare a meno di trattare, ma che dovranno essere d’ora in poi trattati, ferme le altre norme applicabili, alla luce delle disposizioni contenute nel provvedimento qui commentato.
Il trattamento di categorie particolari di dati nell’ambito dei rapporti di lavoro
Il trattamento effettuato ai fini dell’instaurazione di un rapporto di lavoro deve limitarsi alle sole informazioni strettamente pertinenti al perseguimento delle finalità tassativamente individuate dal Garante nel provvedimento qui commentato, ovvero: l’adempimento di obblighi di legge o previsti dai contratti collettivi anche aziendali; la tenuta della contabilità o la corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori; la tutela della vita o dell’incolumità fisica del lavoratore o di un terzo; la tutela di un diritto in sede giudiziaria, amministrativa o nelle procedure di arbitrato e di conciliazione; l’adempimento di obblighi derivanti da contratti di assicurazione in materia di salute e sicurezza sul lavoro, malattie professionali o danni cagionati a terzi nell’esercizio dell’attività lavorativa; la garanzia delle pari opportunità nel lavoro; il perseguimento scopi determinati e legittimi individuati dagli statuti degli enti rappresentativi delle categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro. I soggetti preposti al recruitment possono trattare i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati solo per scopi determinati e legittimi e quando ciò sia necessario all’instaurazione del rapporto di lavoro. Qualora nei curricula siano presenti dati non pertinenti, i soggetti preposti devono astenersi dall’utilizzare queste informazioni. Infine, i dati genetici non possono essere trattati, nemmeno con il consenso dell’interessato, al fine di stabilire l’idoneità professionale del candidato all’impiego.
Nel corso del rapporto di lavoro, il datore di lavoro tratta i dati che rivelano le convinzioni religiose o filosofiche, o l’adesione ad enti religiosi o filosofici, solo ai fini della fruizione di permessi in occasione di festività religiose, per l’erogazione dei servizi di mensa o per l’esercizio dell’obiezione di coscienza. Analogamente, i dati che rivelano le opinioni politiche dei dipendenti, l’appartenenza sindacale, l’esercizio di funzioni pubbliche o incarichi politici e sindacali, possono essere trattati esclusivamente per la fruizione di permessi o di periodi di aspettativa, nonché per consentire l’esercizio dei diritti sindacali.
Con riferimento alle modalità di trattamento, qualora le comunicazioni indirizzate al lavoratore contengano categorie particolari di dati, il Garante prescrive l’utilizzo di forme comunicazione individualizzata e, nel caso di documentazione cartacea, l’invio in plico chiuso. Inoltre, qualora tali documenti debbano essere trasmessi anche ai competenti uffici della struttura lavorativa, questi devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione dell’ufficio preposto, senza allegare la documentazione integrale o riportare stralci del testo ove non strettamente indispensabile. Ovviamente, sarà cura del mittente accertare che la ricezione e il relativo trattamento dei dati sia effettuato dal solo personale competente e autorizzato. Infine, con riferimento ai dati relativi alle presenze/assenze dal servizio, qualora vi sia necessità del datore di lavoro di comunicare questi dati a soggetti diversi dall’interessato (ad es. ai colleghi per predisposizione dei turni), le causali dell’assenza da cui sia possibile desumere la conoscenza di dati personali particolari (quali permessi sindacali o dati sanitari) non possono essere esplicitate nemmeno con acronimi o sigle.
Il trattamento di categorie particolari di dati da parte di organismi associativi, fondazioni, chiese ed enti religiosi
I dati particolari relativi a soggetti facenti parte di organismi associativi, fondazioni, chiese ed enti religiosi possono essere comunicati ad enti con scopo di lucro solo nella misura dello stretto indispensabile e in base ad atto scritto che individui con precisione le informazioni comunicate, per lo svolgimento di attività ausiliari alle finalità di trattamento o per scopi amministrativi e contabili. Tali dati possono essere inoltre comunicati agli altri associati/aderenti anche in assenza del consenso dell’interessato, qualora ciò sia consentito dall’atto costitutivo/statuto, nella misura in cui avvenga per il perseguimento di scopi determinati e legittimi e le modalità di utilizzo siano esplicitate nell’informativa. La comunicazione di questi dati a soggetti esterni all’ente, invece, può avvenire solo con il consenso degli interessati e ferma la necessità di un’idonea informativa sulla tipologia di destinatari, le finalità della comunicazione, nel rispetto del principio di pertinenza del trattamento. I dati possono essere infine comunicati alle autorità competenti per finalità di prevenzione, accertamento o repressione dei reati.
Il trattamento di dati particolari da parte degli investigatori privati
Gli investigatori privati possono effettuare ricerche e raccogliere dati personali solo in virtù di apposito incarico scritto, che deve specificare il diritto che si intende esercitare in sede giudiziaria o il procedimento penale cui l’investigazione è collegata, i fatti che giustificano l’investigazione ed il termine entro cui questa deve essere conclusa. L’investigatore privato deve eseguire personalmente l’incarico e non può avvalersi di altri ausiliari non indicati nell’incarico. In generale, i dati in questione possono essere comunicati unicamente al soggetto che ha conferito l’incarico e, conclusa l’attività investigativa, il trattamento deve cessare. La conservazione temporanea è ammessa solo per l’immediata comunicazione a chi ha conferito l’incarico, finalizzata a dimostrare la liceità e correttezza del proprio operato, mentre la pendenza o altra causa di sospensione del procedimento cui l’investigazione è collegata non giustifica di per sé la conservazione dei dati. Dati genetici, biometrici e dati sulla salute acquisiti durante l’investigazione possono essere comunicati alle autorità competenti solo per finalità di prevenzione, accertamento o repressione dei reati, mentre i dati relativi alla vita sessuale o all’orientamento sessuale non possono essere diffusi.
Il trattamento dei dati genetici
In tema di dati genetici e campioni biologici, è anzitutto previsto che le modalità di conservazione, utilizzo e trasporto siano idonee a garantirne la qualità, integrità, disponibilità e tracciabilità e che l’accesso ai locali in cui vengono conservati sia regolato da una procedura prestabilita. Qualora tali dati siano contenuti in elenchi, registri o database è inoltre prescritta l’adozione di tecniche di protezione (quali ad es. cifratura e pseudonimizzazione) che impediscano l’identificazione diretta degli interessati. La comunicazione di dati genetici a mezzo posta elettronica è consentita a condizione che il documento venga allegato e non compreso nel corpo del messaggio, ma è in ogni caso è prescritto il ricorso a canali di comunicazione protetti (anche di tipo “web application”) e la protezione dell’allegato con modalità idonee a impedirne l’illecita o fortuita acquisizione. Infine, la consultazione dei dati è consentita previa adozione di sistemi di autenticazione basati sull’uso combinato di informazioni note a soggetti appositamente designati e di dispositivi in loro possesso.
L’informativa agli interessati deve specificare i risultati conseguibili tramite il trattamento, la facoltà dell’interessato di limitare la comunicazione dei propri dati genetici e il trasferimento dei propri campioni biologici, nonché l’eventuale utilizzo degli stessi per ulteriori scopi. Il consenso dell’interessato è peraltro necessario quando il trattamento è finalizzato alla tutela della salute di un soggetto terzo (per consentirgli scelte riproduttive consapevoli o per permettere interventi terapeutici o preventivi), allo svolgimento di indagini difensive, all’esecuzione di test genetici, o allo svolgimento di ricerche scientifiche ed indagini statistiche non previste dalla legge.
In particolare, il trattamento dei dati genetici per finalità di ricerca scientifica e statistica è consentito solo se finalizzato alla tutela della salute dell’interessato, di terzi o della collettività. Tale trattamento deve essere svolto sulla base di un progetto dettagliato che garantisca la conformità delle modalità di trattamento alle prescrizioni del Garante. In assenza del consenso degli interessati, la conservazione dei dati e campioni raccolti è ammessa solo in specifici casi (in particolare, indagini statistiche o ricerche scientifiche previste dalla legge e limitatamente al perseguimento di ulteriori scopi scientifici e statistici direttamente collegati con quelli per i quali è stato originariamente acquisito il consenso). I dati e i campioni così raccolti possono inoltre essere comunicati o trasferiti a enti, associazioni e istituti di ricerca, nell’ambito di progetti congiunti e in base ad un rapporto di contitolarità nel trattamento, per scopi scientifici direttamente collegati a quelli per i quali sono stati originariamente raccolti, chiaramente determinati per iscritto nella richiesta dei dati e/o dei campioni.
Il trattamento di categorie particolari di dati personali per scopi di ricerca scientifica
Il Garante prevede che un progetto di ricerca scientifica coinvolgente il trattamento di categorie particolari di dati (quali ad esempio dati sulla salute o dati genetici) possa legittimamente individuare ragioni eccezionali per cui dare un’idonea informativa agli interessati e acquisirne il preventivo consenso risulti impossibile, eccessivamente oneroso, o rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca. Tra queste ragioni rientrano: motivi etici per cui l’interessato dovrebbe ignorare la propria condizione epidemiologica (es. studi epidemiologici sulla distribuzione di un fattore che prevede lo sviluppo di uno stato morboso per il quale non esiste un trattamento); impossibilità organizzativa; lo stato di salute dell’interessato, che gli impedisce di comprendere l’informativa e prestare validamente il consenso. In generale, i dati e i campioni biologici sono conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o trattati. Il progetto di ricerca deve inoltre indicare il periodo di conservazione, successivo alla conclusione dello studio, al termine del quale i dati devono essere anonimizzati. Sono inoltre prescritte tecniche di cifratura o di pseudonimizzazione ed altre soluzioni che non permettano di identificare gli interessati se non caso di necessità. In ogni caso, il titolare del trattamento adotta specifici accorgimenti tecnici per incrementare il livello di sicurezza sia in fase di raccolta, memorizzazione o archiviazione, sia in fase di elaborazione e di trasmissione dei dati al promotore dello studio o ai collaboratori.