Recentemente sono intervenuti alcuni significativi provvedimenti del Garante - che di seguito selezioniamo e riferiamo brevemente come emergenti nell'ultima Relazione annuale del Garante, con particolare riferimento all'anno 2008 - su casi specifici, mediante l'affermazione di precetti e principi, almeno in parte comunque esportabili - e quindi sostanzialmente applicabili - a fattispecie simili.

Con una segnalazione sono stati chiesti al Garante chiarimenti sulla conformità alla disciplina di protezione dei dati personali delle modalità “telematiche” con le quali una società comunicava il prospetto paga ai dipendenti. Dagli approfondimenti svolti non sono emersi specifici profili di violazione della disciplina, avuto particolare riguardo alle misure di sicurezza adottate dalla società per prevenire indebiti accessi da parte di terzi ai dati contenuti nel “cedolino elettronico” (strong authentication, basata su certificati digitali).

Nondimeno, si è rilevato, da un lato che la legge n. 4/1953 pone in capo ai datori di lavoro privati l'«obbligo di consegna» del prospetto paga ai propri dipendenti onde consentire loro, all'atto della corresponsione della retribuzione, una puntuale verifica in ordine alla correttezza dell'importo erogato, dall'altro che le modalità telematiche adottate dalla società non fornivano garanzie in tal senso. Pertanto si è interessata della questione (anche alla luce della risposta del Ministero del lavoro, della salute e delle politiche sociali ad una recente istanza di interpello) la Direzione provinciale del lavoro territorialmente competente, anche in considerazione dell'ampia utilizzazione dello strumento telematico nel rapporto di lavoro (cfr. Nota del 9 aprile 2009).

Una segnalazione ha evidenziato l'indicazione, sui documenti “buoni pasto” forniti da una banca, di alcune informazioni (in particolare, nome e cognome) riferite ai dipendenti che ne fruivano.

La vigente disciplina in materia individua gli specifici requisiti da riportare sui “buoni pasto”, ma non include tra questi il nome e il cognome dell'utente (art. 5, D.P.C.M. 18 novembre 2005, attuativo dell'art. 14 vicies-ter della legge n. 168/2005). Si è, pertanto, rilevato che tale indicazione risulta idonea a fornire a soggetti terzi (tra i quali la società di emissione del titolo, gli esercizi convenzionati ed eventuali ulteriori possessori del «buono pasto») informazioni attinenti all'attività lavorativa dell'utente medesimo, in violazione del principio di non eccedenza dei dati trattati, sancito dall'art. 11, comma 1, lett. d), del Codice. Ciò, tenuto anche conto che le esigenze di correttezza nell'utilizzo del documento di legittimazione previste dalla normativa sopra richiamata possono essere perseguite anche senza indicare il nominativo dell'utente (ad esempio, attraverso la sottoscrizione dell'utilizzatore già prevista dalla disciplina vigente, eventualmente associata al numero progressivo di identificazione del buono pasto e/o alla ragione sociale o al codice fiscale del datore di lavoro).

Peraltro, in considerazione della disponibilità mostrata dalla società a modificare le proprie metodologie di predisposizione del documento di fatturazione, non è stata promossa l'adozione di un provvedimento da parte del Garante (cfr. Nota del 27 agosto 2008).

Da alcune segnalazioni (concernenti la divulgazione, mediante l'utilizzo di tesserini identificativi contenenti le generalità dei lavoratori, di informazioni personali ai medesimi riferite, in attuazione di specifiche normative di settore volte a contrastare il fenomeno del lavoro sommerso e a tutelare la salute e sicurezza dei lavoratori), sono emerse preoccupazioni per alcune categorie professionali (segnatamente, le “guardie particolari giurate”), esposte, per la natura dell'attività espletata, a pericoli per la propria incolumità personale. All'esito degli approfondimenti svolti e alla luce di alcune recenti pronunce in materia, non sono emersi specifici profili di violazione della disciplina in materia di protezione dei dati personali, considerato che il trattamento può essere lecitamente svolto in difetto del consenso degli interessati se effettuato dal titolare in esecuzione di specifici obblighi di legge (cfr. art. 24, comma 1, lett. a), del Codice). Nondimeno, nel ritenere comunque condivisibili le preoccupazioni espresse in merito all'applicazione della richiamata normativa di settore a talune categorie di lavoratori “a rischio”, l'Autorità ha interessato della questione, per i profili di propria competenza, anche il Ministero del lavoro, della salute e delle politiche sociali (peraltro, in parte, già pronunciatosi con la risposta ad istanza di interpello del 3 ottobre 2008, prot. 25/I/0013426 in riferimento ad un caso similare) (cfr., a titolo esemplificativo, Nota del 13 marzo 2009).

In un'altra segnalazione, una ex dipendente di una società ha lamentato l'avvenuta comunicazione a terzi (nel caso rappresentato, la sorella) di dati relativi alla propria condizione di salute da parte della società.

In proposito, questa Autorità ha ricordato che il trattamento di dati sensibili può avvenire senza il consenso dell'interessato quando questi, per impossibilità fisica, incapacità di agire o incapacità di intendere e di volere non sia in grado di prestarlo e il trattamento risulti necessario per la salvaguardia della sua incolumità personale (art. 26, comma 4, lett. b), del Codice) o per specifici obblighi di legge in materia di sicurezza sul lavoro (art. 26, comma 1, lett. d), del Codice). Non risultando la ricorrenza di tali circostanze, l'Autorità ha vietato l'ulteriore comunicazione a terzi dei dati relativi alle condizioni di salute della segnalante. (Provv. 2 aprile 2008 [doc. web n. 1519902]).

Due dipendenti di due distinte società, che gestiscono, alcuni esercizi commerciali, hanno contestato l'utilizzo, da parte dei rispettivi datori di lavoro, di propri dati personali (raccolti per finalità di marketing, fidelizzazione e fini statistici), per promuovere un procedimento disciplinare nei loro confronti culminato nel licenziamento (in quanto gli interessati, nella veste di dipendenti dei menzionati esercizi commerciali, “caricavano” sulla propria carta di fidelizzazione gli acquisti effettuati dalla clientela).

Dall'istruttoria è emerso che le società, nel perseguire una pur legittima finalità, ovvero l'accertamento di un comportamento ritenuto illegittimo di un lavoratore relativo all'uso indebito di una carta, hanno violato la disciplina di protezione dei dati personali che prevede una preventiva informativa agli interessati sulle concrete modalità di utilizzo dei dati che li riguardano. I dati acquisiti, anziché essere stati trattati nel solo ambito del programma di fidelizzazione (come dichiarato agli interessati), sono stati infatti utilizzati anche per assumere decisioni relative alla gestione del rapporto di lavoro. L'Autorità, non risultando agli atti che in sede di adesione al programma di fidelizzazione gli interessati fossero stati informati sull'utilizzo dei dati raccolti anche per controllare l'esecuzione della prestazione lavorativa e l'osservanza dell'obbligo di fedeltà dei dipendenti, ha vietato alle due società di effettuare, nel contesto del rapporto di lavoro, ulteriori operazioni di trattamento dei dati connessi all'utilizzo della carta di fidelizzazione in violazione dei principi di liceità e finalità (artt. 11, comma 1, lett. a) e b), del Codice) (Provv. 2 aprile 2008 [doc. web n. 1519679] e Provv. 6 novembre 2008 [doc. web n. 1573780]).

In un quesito, una società specializzata nell'elaborazione e stampa di cedolini paga dei dipendenti per conto terzi (attività che può comportare il trattamento di dati sensibili dei dipendenti medesimi) ha chiesto chiarimenti sull'effettiva necessità di essere designata, da parte delle società “clienti”, solitamente in forza di contratti di servizio, quale responsabile del trattamento.

Al riguardo, è stato ribadito che la designazione del responsabile del trattamento, ancorché non obbligatoria (art. 29, comma 1, del Codice), può divenire una soluzione obbligata quando una parte - sia pure strumentale - dei trattamenti necessari per perseguire le finalità del titolare è curata da un soggetto esterno (cfr. Parere 19 dicembre 1998 [doc. web n. 41941]), ad esempio, nell'ambito di un contratto di servizio sottoscritto dal titolare-utilizzatore con la società fornitrice del servizio stesso.

La disciplina vigente riconosce comunque in capo al solo “titolare” del trattamento le decisioni in ordine alle finalità e alle modalità dello stesso (art. 4, comma 1, lett. f), del Codice), finalità e modalità che, nel caso di specie, non sono state ritenute riconducibili a preventive determinazioni da parte della società richiedente (cfr. Nota del 20 giugno 2008).

A seguito di una richiesta presentata, ai sensi dell'art. 41 del Codice, da una società di rating (controllata da altra società con sede negli Stati Uniti d'America) volta a ottenere l'autorizzazione al trattamento dei dati giudiziari relativi ai dipendenti allo scopo di adempiere all'obbligo di registrazione previsto dal Credit Rating Agency Reform Act of 2006 (e ottenere così lo status di Nationally Recognized Statistical Rating Organisation-Nsro), il Garante, nell'esercizio di un altro suo fondamentale potere, ha autorizzato la società a trattare i dati giudiziari richiesti limitatamente al solo personale operante nel relativo dipartimento e per la sola finalità dichiarata, nel rispetto, per quanto non diversamente stabilito con l'autorizzazione ad hoc, delle prescrizioni di cui all'autorizzazione n. 7/2007 (Provv. 31 gennaio 2008 [doc. web n. 1488729]).

In sede di rinnovo delle autorizzazioni generali si sono inseriti specifici riferimenti al trattamento di dati giudiziari di lavoratori effettuati da società di rating nell'ambito delle previsioni di cui all'autorizzazione generale n. 7/2008 (Provv. 19 giugno 2008 [doc. web n. 1529557], in G.U. n. 169 del 21 luglio 2008).