Privacy dei dipendenti: richiamo del Garante

Nella Newsletter del 28/11/2013 il Garante Privacy ribadisce l’importanza della tutela dei dati personali delle persone fisiche, in particolare i dati di tipo sensibile: “i dati personali, specie se sensibili, devono essere comunicati, anche nell’ambito del rapporto di lavoro, esclusivamente  alle persone o agli uffici che ne possono legittimamente avere conoscenza”.

L’articolo richiama una serie di provvedimenti che comportano un errato trattamento di dati appartenenti a dipendenti di Pubbliche Amministrazioni, con particolare riferimento alla comunicazione di dati a personale non autorizzato.

Il “principio di necessità” è alla base di tutta la disciplina in materia di privacy, da applicare ogni qual volta che viene comunicato un dato a soggetti diversi dall’interessato; come indicato all’art. 3 del D.Lgs.196/03: “ è necessario ridurre al minimo l’utilizzazione di dati personali e dati identificativi in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o opportune modalità che permettano di identificare l’interessato”.

Nei casi citati dal Garante si riscontra la violazione di tale principio:
- comunicazione ai colleghi della liquidazione del premio di risultato al personale di un dipendente, unitamente alle note valutative ed alle sanzioni disciplinari;
- invio di una mail ai dipendenti da sottoporre a ulteriori accertamenti sanitari per verificare se continuava a sussistere l’idoneità al lavoro, ma anche a vari uffici non competenti sulla questione;
- invio di una nota di sollecito al Comitato di verifica per le cause di servizio di dieci dipendenti, tramite mail in copia a tutti i dipendenti.

Sulla base del principio di necessità, le comunicazioni dei dati dei dipendenti a soggetti diversi dagli interessati devono essere effettuate solo se necessario o previsto da norme o regolamenti di legge, sempre  a seguito di:
- opportuna informativa all’interessato sulle modalità di trattamento ed i soggetti incaricati (art. 13 D.Lgs. 196/03, salvo le esclusioni previste dal comma 5 dello stesso art. 13);
- incarico specifico che autorizza il soggetto a trattare quel tipo di dato;
- adozione delle misure minime di sicurezza, indicate nell’allegato B del D.Lgs. 196/03.

Gli adempimenti sopra elencati riguardano tutti i soggetti che trattano dati di persone fisiche, indipendentemente se trattasi di soggetti pubblici o di soggetti privati. A tal fine è importante ricordare di non abbassare la guardia in materia di privacy.

Sebbene a seguito della semplificazione  avvenuta con il D.Lg. 05/2012 sono state abrogate le disposizioni relative all’obbligo di redarre il Documento Programmatico sulla Sicurezza dei dati (DPS), restano invariate tutte le responsabilità a carico del Titolare del Trattamento e le altre misure minime di sicurezza come ad esempio:
- obbligo di informativa agli interessati;
- nomina/autorizzazione degli incaricati del trattamento in base ai compiti assegnati;
- utilizzo e tutela delle password;
- adozione di misure di protezione degli strumenti elettronici;
- back-up dei dati.

È tutt’ora in fase di approvazione da parte della Commissione Europea un Regolamento in materia di “Data Protection” che sarà direttamente applicabile in Italia e abrogherà il D.Lgs. 196/03. Si consiglia di mantenere aggiornata la redazione del DPS o di predisporre un documento che racchiuda tutte le policy da adottare in materia di trattamento dati, in modo da non farsi trovare impreparati.

Questa voce è stata pubblicata in 2013, Privacy, Sicurezza sul lavoro e contrassegnata con , , , , , . Contrassegna il permalink.

Lascia un Commento