Indice

Relazione 2000

I - Stato di attuazione della legge n. 675/1996 

Lavoro e previdenza sociale

26. LA PROTEZIONE DEI DATI NEL RAPPORTO DI LAVORO
Anche nel corso dell´anno 2000, vivo è stato l´interesse del Garante nei confronti delle esigenze di protezione dei dati personali nel settore del lavoro, sia pubblico, sia privato.

Oltre ad aver rinnovato per il periodo 1° ottobre 2000–31 dicembre 2001 le autorizzazioni generali rilasciate negli anni precedenti, rivelatesi strumento idoneo non solo per prescrivere ed uniformare le misure e gli accorgimenti a garanzia degli interessati, ma anche per semplificare gli adempimenti che la legge n. 675/1996 pone a carico di determinate categorie di titolari (tra cui, con specifico riferimento al settore che qui interessa, i datori di lavoro in relazione al trattamento dei dati sensibili e dei dati a carattere giudiziario), il Garante è stato chiamato a pronunciarsi su specifiche problematiche, tra cui quella della conoscibilità delle note di qualifica.

In particolare, il Garante, sviluppando temi e principi già affermati in precedenti occasioni, nel ribadire che la previsione di cui all´art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996 attribuisce a ciascun interessato – e quindi a ciascun lavoratore – il diritto di accedere ai propri dati personali, senza però che ciò possa tramutarsi in un diritto al rilascio di copia integrale degli atti o di altri documenti contenenti tali dati (soltanto ove l´estrazione dei dati personali dai documenti e la conseguente trasposizione su supporto cartaceo o informatico risulti particolarmente difficoltosa, allora l´adempimento alla richiesta di accesso può avvenire anche tramite la modalità dell´esibizione e/o della consegna in copia della documentazione, come già precisato da questa Autorità in tema di diritto d´accesso alle perizie medico-legali nel settore assicurativo e, da ultimo, in materia di lavoro, con Provv. del 28 dicembre 2000), ha altresì affermato che, ai sensi dell´art. 13 della legge n. 675/1996 e dell´art. 17 d.P.R. n. 501/1998, il datore di lavoro, quale titolare del trattamento, è tenuto a comunicare al lavoratore i dati relativi alla sua persona in forma completa, "mettendo in chiaro" tutte le informazioni personali comunque collegate al rapporto di lavoro o allo stato giuridico ed economico del dipendente, compresi quelli relativi allo sviluppo di carriera, alla rilevazione delle presenze, alle domande di ferie, ai turni di servizio, alla copia dei ruoli paga, ai certificati di malattia, ai moduli di autorizzazione alle missioni", nonché le informazioni riportate in eventuali progetti formativi (in tal senso, vedi Provv. del 17 ottobre 2000). In tale occasione, inoltre, il Garante, a fronte di specifica richiesta, ha avuto modo di chiarire che, tra le pretese azionabili dal lavoratore ex art. 13 legge n. 675/1996, non rientra quella volta a conoscere il nominativo degli eventuali "incaricati" del trattamento dei dati personali, sicché la relativa richiesta deve ritenersi inammissibile.

Sempre in tale ottica, inoltre, va considerato anche il provvedimento adottato il 28 giugno 2000, con il quale il Garante, in consapevole difformità con l´interpretazione fornita dal Tribunale di Fermo con decreto del 26 ottobre 1999, ha ribadito il diritto del lavoratore ad essere posto a conoscenza di tutti i "fattori valutativi" impiegati dal datore di lavoro ai fini della formulazione del giudizio complessivo finale contenuto nelle note di qualifica annuali. Va sottolineato che il caso in questione è identico ad altra precedente fattispecie, nella quale il giudice di merito, adìto da un istituto di credito ex art. 29, comma 6, legge n. 675/1996 (in sede di opposizione avverso una precedente pronunzia del Garante, di tenore analogo a quella oggetto di trattazione), ha affermato che "forma dato personale la valutazione finale del dipendente attribuita dall´amministrazione, ma non le operazioni effettuate al fine di giungere alla valutazione complessiva finale …".

Al contrario, il Garante, nel ribadire che l´art. 1, comma 2, lett. c), legge n. 675/1996 definisce espressamente dato personale "qualunque informazione relativa a persona fisica, persona giuridica …", ha affermato che si deve ricomprendere in tale ampia accezione "ogni notizia, informazione od elemento che abbia comunque un´efficacia informativa tale da fornire un contributo di conoscenza rispetto ad un soggetto identificato o identificabile" (principio, questo, già manifestato dall´Autorità in tema di giudizi espressi su docenti e sull´efficacia didattica di determinati corsi, in materia di giudizi su profili della personalità dell´interessato relativamente a test psico-attitudinali, nonché in tema di riscontri diagnostici di tipo medico e, segnatamente, di valutazioni medico-legali), sicché ad ogni elemento valutativo non potrebbe disconoscersi la natura di dato personale; e ciò "a prescindere dal loro successivo confluire nella qualifica sintetica annuale di cui costituiscono presupposti e articolazioni dotati, però, di autonomo significato", e come tali suscettibili di eventuali richieste d´integrazione ex art. 13 della legge n. 675/1996. Ulteriore conferma di tale impostazione, poi, può rinvenirsi nel provvedimento del 19 giugno 2000, con il quale il Garante ha ordinato ad una società di porre a disposizione di un suo ex dipendente gli attestati di qualificazione professionale conseguiti durante il pregresso rapporto lavorativo.

In ogni caso, trattasi di questione giuridica di enorme rilevanza, rispetto alla quale risulteranno di particolare interesse le future valutazioni della Suprema Corte di cassazione, già adita dai lavoratori interessati, che si spera possano tenere presente anche la Risoluzione adottata il 22 marzo 2001 dal Gruppo dei garanti europei, che ha riconosciuto a Bruxelles, appunto, la natura di "dato personale" delle predette valutazioni.

Infine, sempre in tema di "note di qualifica", è opportuno segnalare anche il provvedimento adottato in data 6 febbraio 2001, con il quale il Garante ha avuto modo di chiarire che il diritto del lavoratore (ex art. 13 legge n. 675/1996) ad accedere alle note di qualifica ed ai giudizi può essere esercitato soltanto in relazione ai propri dati personali, e non con riferimento ai dati contenuti in note di qualifica o, comunque, in giudizi relativi ai colleghi di lavoro, a meno che l´istante non sia munito di una delega o di una procura ad hoc, all´uopo rilasciatagli dall´interessato.

Analogamente, con riferimento al diritto del lavoratore ad accedere anche ai dati di tipo valutativo e, corrispondentemente, all´obbligo del datore di lavoro di porre a disposizione dell´interessato, "in chiaro", tutte le informazioni personali oggetto di trattamento, meritano di essere richiamati anche i provvedimenti adottati dal Garante in data 9 ottobre 2000, 12 dicembre 2000 e 7 marzo 2001, che si pongono nel già richiamato solco interpretativo.

27. SISTEMI INFORMATIVI E CONTROLLO A DISTANZA DEL PERSONALE
Altro profilo che assume particolare importanza nel settore del lavoro è quello del c.d. controllo a distanza dei lavoratori, il quale risulta strettamente connesso alla più ampia tematica della videosorveglianza.

In proposito, occorre premettere che in materia trova già applicazione l´art. 4 della legge n. 300/1970 che, nel vietare "il controllo a distanza dell´attività dei lavoratori" (anche come mera possibilità di controllo ad insaputa del prestatore), disciplina distintamente le due ipotesi dell´impianto di apparecchiature finalizzate al controllo a distanza (primo comma) e di apparecchiature per fini produttivi, ma tali comunque da presentare la possibilità di fornire anche il controllo a distanza del dipendente (secondo comma). Mentre le apparecchiature di cui al primo comma sono vietate, data la loro "odiosità", il loro contrasto con i principi della Costituzione e gli stessi effetti che possono arrecare alla produttività, quelle di cui al secondo comma sono consentite a condizione che il datore di lavoro osservi quanto tassativamente previsto nello stesso secondo comma ed, eventualmente, dai successivi.

Il Garante, chiamato nuovamente ad occuparsi della questione, ha anzitutto rammentato che la direttiva comunitaria n. 95/46/CE e la Convenzione n. 108/1981 del Consiglio d´Europa rendono obbligatoria l´applicazione della disciplina sul trattamento dei dati personali anche ai suoni ed alle immagini (quali quelle registrate nei controlli video), qualora permettano di identificare un soggetto anche in via indiretta, evidenziando che la legge n. 675/1996, attuativa della citata Convenzione, ha considerato quale "dato personale" qualunque informazione che permetta l´identificazione, anche in via indiretta, dei soggetti interessati, ivi compresi i suoni e le immagini (art. 1, comma 1, lett. c)).

L´Autorità ha proseguito l´analisi di una problematica già lungamente affrontata nel corso del 1999 e che è bene richiamare anche in questa Relazione. Chiamata infatti ad esprimere un parere in relazione ad un impianto di video-sorveglianza da installare sui mezzi di trasporto di un´azienda comunale, diretto a garantire la sicurezza dei viaggiatori, a prevenire reati ed atti di vandalismo alle fermate, l´Autorità aveva infatti sottolineato la necessità che tali sistemi fossero attivati in presenza di un articolato quadro di garanzie. In particolare, il Garante, nel richiamare i fondamentali divieti sanciti dall´art. 4 della legge n. 300/1970 (con specifico riferimento all´eventuale stabile ripresa della posizione di guida degli autisti), aveva sollecitato il richiedente a determinare la localizzazione delle telecamere e le modalità di ripresa televisiva in aderenza con le finalità sottese all´installazione del sistema stesso, tenendo conto dei principi fissati dall´art. 9 della legge n. 675/1996 in tema di pertinenza e non eccedenza dei dati: di conseguenza, aveva auspicato una predisposizione di modalità di ripresa tali da consentire una visione puramente panoramica dell´interno delle vetture o dell´ambito della fermata, dovendosi ritenere inibite riprese più particolareggiate, atte a realizzare un´intrusione nella riservatezza delle persone, ovvero una visione di particolari irrilevanti. Inoltre, stante la stretta connessione tra l´eventuale visione "in chiaro" delle immagini (originariamente registrate solo in modo codificato) e la commissione di atti criminosi denunciati all´autorità di polizia, il Garante aveva altresì sollecitato l´installazione di un modulo di accesso ai computer della c.d. "stazione di lettura" secondo un sistema di "doppia chiave" congiunta (una in possesso dell´azienda e l´altra in possesso delle forze dell´ordine), con predeterminazione, tra l´altro, di idonee misure di sicurezza per la salvaguardia dei dati.

Negli ultimi tempi, il problema del controllo a distanza sul luogo di lavoro è tornato all´attenzione del Garante – come pure di altri Paesi e di molte altre autorità di garanzia straniere- in relazione agli accessi alle reti telematiche da parte del personale e all´uso della posta elettronica.

L´Autorità ha già avviato specifici accertamenti richiedendo, sia a società distributrici di appositi software, sia ad aziende risultate utilizzatrici dello stesso, tutte le informazioni utili per una piena valutazione delle caratteristiche del software e delle opzioni da esso consentite, nonché delle concrete forme di utilizzazione con specifico riguardo alle modalità di informativa verso i dipendenti, all´istituto del consenso, all´eventuale consultazione delle rappresentanze sindacali aziendali, alle finalità perseguite ed alla conservazione dei dati relativi agli accessi ai siti.

Il Garante si riserva di adottare a breve termine un provvedimento di carattere generale in riferimento ai diversi aspetti emersi nei vari procedimenti, tenendo presenti le nuove implicazioni che la legge n. 675/1996 pone per quanto riguarda l´informativa ai lavoratori interessati, il principio di proporzionalità nel trattamento dei dati, la trasparenza dei controlli e i limiti entro i quali essi sono consentiti, ed eventuali suggerimenti operativi che potranno essere formulati per bilanciare i diritti e le libertà fondamentali degli interessati con le esigenze connesse alla prestazione lavorativa e all´osservanza degli obblighi del rapporto di lavoro.

Il Garante terrà anche conto, a questo riguardo, degli approfondimenti in atto su scala europea, anche alla luce delle prime quattro iniziative intraprese in altri Paesi da altre autorità di garanzia in materia di protezione dei dati, dei risultati dell´apposito Gruppo di lavoro costituito dalle quindici autorità garanti, nonché delle prime riflessioni che l´Autorità italiana ha formulato nel corso della recente Conferenza europea di Atene del 10-11 maggio 2001.

28. IL SISTEMA INFORMAZIONE LAVORO
Nell´ambito dell´attività consultiva (art. 31, comma 2, legge n. 675/1996), il Garante ha avuto modo di proseguire gli approfondimenti relativi ai sistemi informativi in materia di lavoro.

Già in passato l´Autorità aveva espresso un parere in relazione allo schema di regolamento concernente, nell´ambito della delegificazione della materia, il riordino di alcune procedure per il collocamento pubblico; tale regolamento, infatti, avrebbe lo scopo di facilitare l´incontro della domanda e dell´offerta di lavoro nel rispetto della competenza delle Regioni (art. 1 legge 15 marzo 1997, n. 59), attraverso un´efficace attivazione sul territorio nazionale del Sistema informativo lavoro (Sil).

È opportuno richiamare quanto già riportato nella Relazione per l´anno 1999 circa la necessità di chiarire, in via generale, il complessivo rapporto tra flussi di dati previsti e l´organizzazione del SIL, trattandosi di un sistema che, per espressa previsione di legge, dev´essere improntato ai principi di cui alla legge n. 675/1996 (vedi art. 11, comma 1, d.lg. 469/1997).

Analogamente, sono state ribadite le perplessità già sollevate in relazione sia all´istituzione di una "scheda professionale" del lavoratore (non essendo ancora chiara non solo la funzione di tale scheda, ma anche le connesse modalità di trattamento dei dati in essa riportati), sia all´autonomo rilascio, su base regionale, di una "carta elettronica personale" del lavoratore, soprattutto in assenza di un primo quadro normativo d´insieme che poteva essere meglio armonizzato con la recente disciplina della carta d´identità elettronica.

Con provvedimento del 24 aprile 2001, il Garante ha nuovamente ribadito principi analoghi esprimendo il parere su due schemi di decreti ministeriali attuativi del regolamento di semplificazione della disciplina per il collocamento ordinario dei lavoratori con d.P.R. 7 luglio 2000, n. 442. L´Autorità ha anzitutto evidenziato il mancato recepimento – con il d.P.R. n. 442/2000 - di varie considerazioni formulate con il parere del 30 novembre 1999, in particolare per quanto riguarda il rapporto tra i flussi di dati personali previsti e la peculiare organizzazione del Sil, e la delimitazione degli obblighi di verifica dell´esattezza e della pertinenza delle informazioni, anche in termini di uniformità di disciplina sull´accesso da parte di regioni ed enti locali. Altre osservazioni hanno riguardato la titolarità del trattamento dei dati relativi all´elenco anagrafico delle persone in cerca di lavoro e, sotto altro profilo, alcuni aspetti dello schema di decreto concernente la scheda professionale.

29. CARTELLINI IDENTIFICATIVI
Infine, particolare rilievo merita il provvedimento dell´11 dicembre 2000, con il quale il Garante, sollecitato da molte richieste di parere avanzate da pubbliche amministrazioni, aziende sanitarie, compagnie aeree, aziende di trasporto, servizi di ristorazione e singoli lavoratori, ha affrontato il problema dei c.d. cartellini identificativi.

Alcune norme contrattuali o disposizioni organizzative, in vigore sia nel settore pubblico, sia in quello privato, prevedono che il personale a contatto con il pubblico appunti sull´abito o sulla divisa di lavoro un cartellino identificativo, contenente vari dati personali del dipendente: trattasi di norme aventi lo scopo di migliorare il rapporto tra operatori (pubblici o privati) ed utenti dei servizi o clienti degli esercizi commerciali, comportando una maggiore responsabilizzazione del personale ed una più agevole possibilità di tutela dei terzi.

Però, poiché tale esposizione al pubblico di alcuni dati personali degli interessati risulta anche idonea a determinare un´agevole identificazione dell´operatore che, di fatto, può divenire anche destinatario di improprie pressioni da parte di terzi o di successivi contatti anche per ragioni estranee all´attività lavorativa, il Garante, nel riportarsi ai principi di pertinenza e non eccedenza dei dati rispetto alla finalità perseguita attraverso il trattamento (art. 9 l. n. 675/1996), ha ribadito che la limitazione della riservatezza, anche se collegata al perseguimento di una legittima finalità, dev´essere comunque ridotta al minimo indispensabile. Pertanto, la diffusione dei dati personali dei dipendenti attraverso l´imposizione dei cartellini identificativi può trovare giustificazione, nel settore privato, soltanto in caso di adempimento di un obbligo previsto da una legge, da un regolamento o dalla normativa comunitaria (art. 20 l. n. 675/1996), mentre nel settore pubblico ciò è possibile solo ove sia previsto da norme di legge o di regolamento (art. 27, commi 3 e 4).

Nell´ambito del lavoro privato, l´obbligo dell´apposizione del cartellino identificativo trova fondamento in alcune prescrizioni contenute in accordi sindacali aziendali o in regolamenti aziendali, che hanno esplicito riguardo o a finalità interne all´azienda (controlli sulle entrate e le uscite dall´azienda, riconoscimento del personale, accesso ad aree riservate) ovvero ad altre concernenti i rapporti con gli utenti o con i clienti. Pertanto, proprio con specifico riguardo a quest´ultima finalità, il Garante ha ritenuto che non presenti alcuna utilità l´evidenziazione sul cartellino dei dati dei dipendenti concernenti le generalità o gli estremi anagrafici, mentre risulta senz´altro utile ai terzi che entrino in contatto con il personale la conoscibilità dell´immagine fotografica dell´interlocutore, l´indicazione del ruolo professionale, nonché il nome ed il numero (o la sigla) identificativi.

Analoghe considerazioni, inoltre, valgono anche per il settore pubblico. Infatti, anche ove siano stati emanati atti amministrativi d´organizzazione che prevedano l´adozione, da parte del personale, di cartellini identificativi, la limitazione della riservatezza dei dipendenti dovrà sempre avvenire nel rispetto dei principi di pertinenza e non eccedenza, soprattutto laddove non sussistano precise disposizioni di legge o di regolamento che prescrivano puntualmente il contenuto di detti cartellini.