Le tipologie di informazioni di carattere personale, come sopra individuate, possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.

In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.

In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive che il trattamento di dati personali avvenga:

- adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del Codice);

- chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);

- informando preventivamente e adeguatamente gli interessati (art. 13);

- nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11);

- rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27 del Codice) (3);

Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza).

Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali).

Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett. b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.

In generale, ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento (artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice).

In linea di principio, per individuare il titolare del trattamento rileva l'effettivo centro di imputazione del rapporto di lavoro, al di là dello schema societario formalmente adottato.

Peraltro, specie nelle realtà imprenditoriali più articolate, questa identificazione può risultare non sempre agevole e tale circostanza costituisce in qualche caso un ostacolo anche per l'esercizio dei diritti di cui all'art. 7.

In particolare:

In base alle Linee Guida del 2006, le società che appartengono a gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; D.Lgs. 2 aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e collaboratori (artt. 4, comma 1, lett. f) e 28 del Codice).

Tuttavia, nell'ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge. Tale attività implica la designazione della società capogruppo quale responsabile del trattamento ai sensi dell'art. 29 del Codice.

Analoga soluzione (art. 31, comma 2, D.Lgs. n. 276/2003) deve essere adottata per i trattamenti di dati personali, aventi identica natura, effettuati nell'ambito dei consorzi di società cooperative (nei quali a tal fine può essere altresì designata una delle società consorziate).

Considerazioni ulteriori devono essere svolte in relazione a taluni specifici trattamenti che possono o devono essere effettuati all'interno dell'impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro.

Secondo le Linee Guida del Garante, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico.

Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma «con salvaguardia del segreto professionale», assistito e garantito peraltro da sanzione penale.

Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie accertate, ma solo la valutazione finale circa l'idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni.