Sulle modalità di trattamento dei dati sensibili in materia di rapporto di lavoro, oggetto dell’apposita autorizzazione del dicembre 2012, il Garante per la privacy fa riferimento agli obblighi previsti sia dagli articoli 11,14, 31 e seguenti che dall’Allegato B* del Codice (Dlgs 196/03). Per le disposizioni richiamate, i dati sensibili devono essere trattati effettuando unicamente “operazioni, logiche e forme di organizzazione dei dati strettamente indispensabili” rispetto agli obblighi e le finalità indicate nell’Autorizzazione e di cui mi sono occupato nelle precedenti news di stesso argomento.
Queste le regole:
- i dati sono raccolti, di regola, presso l’interessato;
- la comunicazione di dati all’interessato deve avvenire normalmente “direttamente” allo stesso o a un suo delegato**;
- la comunicazione resa all’interessato va fatta in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia;
- l’interessato va sempre informato del trattamento dei dati e, se necessario, se ne deve acquisire il consenso scritto (articoli 13, 23 e 26 del Codice).
In relazione a quanto prescritto invece dall’art. 11, c.1, lett. e), del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi, ai compiti e per perseguire le finalità fissati nell’Autorizzazione.
E per garantire che la conservazione dei dati avvenga in modo corretto occorre, anche mediante controlli periodici, che siano costantemente verificati i dati forniti dall’interessato in relazione a:
- a stretta pertinenza;
- la non eccedenza;
- la indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico di masionin (da attivare, in atto, cessato) ai dati che l’interessato fornisce di propria iniziativa.
Se questo non viene riscontrato, i dati non possono essere utilizzati ma solo conservati in quanto facenti parte dell’atto o nel documento “di origine”.
* L’Allegato B (Disciplinare tecnico in materia di misure minime di sicurezza) ha individuato le misure minime di sicurezza che tutti i titolari del trattamento, devono adottare, pena l’arresto sino a due anni.
Le misure sono individuate per classi di dati e per tipologie di trattamento. Le misure di sicurezza devono essere “idonee” e cioè riferite alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. Se, a causa della mancata adozione delle misure, l’interessato che ha subito dei danni, questi devono essere risarciti.
** Nel particolare previsto dall’art. 84, comma 1, del Codice, “i dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato… da parte di esercenti le professioni sanitarie e organismi sanitari, solo per il tramite di un medico designato dall’interessato o dal titolare…
Continua venerdì 12 aprile: No alla diffusione dei dati sullo stato di salute.
Leggi anche:
Privacy “in ambito lavoro”, dati sensibili trattabili solo per alcune finalità
Il Garante per la privacy autorizza il trattamento dei dati nei rapporti di lavoro.