Richiesta di visita medica del dipendente: pericolo privacy!
Tra il modulo di richiesta di visita medica del dipendente ed il datore di lavoro si ci mette la privacy. La violazione “ciliegina” che vi avevamo promesso.
Trattamento dati personali
Già nella Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” – adottata allo scopo di conseguire l’obiettivo dell’armonizzazione delle normative nazionali allora già esistenti in materia di protezione dei dati personali e di garantire un livello di protezione elevato in ambito comunitario - la definizione di “trattamento di dati personali” era stata formulata in maniera ampia, facendo riferimento a “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”.
Il Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (“GDPR”) all’art. 4, n. 2 sostanzialmente ha replicato quella definizione, con qualche lieve variazione (si segnala, in particolare, l’aggiunta di operazioni di trattamento quali la strutturazione e la limitazione).
Va, in primo luogo, precisato che la definizione, già estesa, di “trattamento” incorpora un elenco di operazioni formulato a titolo esemplificativo ed è riferibile a “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”.
Questo giustifica alcuni interventi chiarificatori effettuati dalle autorità competenti in tema di data protection, in virtù dei quali è stato evidenziato che la mera raccolta, senza alcuna registrazione o conservazione, costituisce, di per sé, trattamento di dati personali (cfr. il documento del Gruppo di Lavoro art. 29 relativo all’utilizzo dei droni); analogamente, il Garante per la Protezione dei Dati Personali, nel proprio provvedimento in materia di videosorveglianza del 2010, ha considerato “trattamento di dati personali” l’attività di raccolta delle immagini, non seguita dalla registrazione.
Proprio per le implicazioni che possono derivare alle persone fisiche per effetto delle operazioni di trattamento, il GDPR prevede all’art. 5 un elenco di “principi applicabili al trattamento di dati personali”, stabilendo che (i) il trattamento sia svolto in modo lecito, corretto e trasparente, (ii) i dati siano raccolti per finalità determinate, esplicite e legittime e successivamente trattati in maniera compatibile con dette finalità, (iii) i dati siano esatti e aggiornati, (ii) i dati siano conservati per un periodo di tempo non superiore al conseguimento della finalità per cui sono trattati e (iv) sia garantita una adeguata sicurezza dei dati personali oggetto di trattamento.
Il GDPR si applica a qualsiasi modalità di trattamento, sia quello – parzialmente o interamente – automatizzato, che quello (manuale) non automatizzato di dati personali contenuti in un archivio.
Con riferimento al trattamento automatizzato di dati personali, va rilevato che tale tipologia di trattamento (posta in essere, ad esempio, facendo ricorso a strumenti automatizzati, quali tablet, personal computer etc.) è espressamente prevista nel GDPR (art. 4, n. 2 e art. 2, paragrafo 1).
Significativa, a questo riguardo, è una decisione della Corte di Giustizia del 13 maggio 2014 resa nel caso Google Spain, in cui la Corte ha statuito che le operazioni attraverso cui il gestore di un motore di ricerca raccoglie, estrae, registra e organizza successivamente nell’ambito dei suoi programmi di indicizzazione, conserva nei propri server e eventualmente comunica e mette a disposizione dei propri utenti sotto forma di elenchi dei risultati delle relative ricerche “devono essere qualificate come trattamento… senza che rilevi il fatto che il gestore del motore di ricerca applichi le medesime operazioni anche ad altri tipi di informazioni e non distingua tra queste e i dati personali”.
Per quanto concerne il trattamento manuale (non automatizzato), va considerato che anche tale tipologia di trattamento è espressamente contemplata dal GDPR: l’art. 2, paragrafo 1, quanto all’ambito di applicazione, include altresì il “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”. L’assoggettamento del trattamento manuale al GDPR è previsto – come si evince dal considerando 15 - per la ragione di evitare comportamenti elusivi.
Per completezza, va evidenziato che il GDPR, in base a quanto previsto all’art. 2, paragrafo 2, lettera c) del GDPR, non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”. Tale disposizione è collegata a quanto indicato nel considerando 18, in cui è precisato che il GDPR “non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”.
Relativamente a tale fattispecie si segnala una recente comunicazione della Commissione per le petizioni del Parlamento Europeo, in cui, a fronte della richiesta di prevedere ulteriori restrizioni dell’ambito di applicazione del GDPR, integrando la disposizione contenuta nell’art. 2, paragrafo 2, lettera c) del GDPR con le espressioni “privato” e “non-commerciale”, è stato rilevato come già sulla base del considerando 18 risulti chiaro che un’attività a carattere esclusivamente personale o domestico “può essere esclusivamente un’attività privata, a carattere esclusivamente personale o esclusivamente domestico e, in particolare, senza alcuna connessione con un’attività commerciale o professionale”.
Vaccinazioni anti Covid sul luogo di lavoro: le indicazioni del Garante privacy per la realizzazione dei piani vaccinali
Istruzioni del Garante privacy per la realizzazione dei piani vaccinali in azienda.
Novità privacy: illegittima la campagna “recupero consensi” di Telecom
Privacy: novità dall'Italia e dal mondo.
Covid-19: La rilevazione della temperatura corporea negli ambienti di lavoro
Il Garante si pronuncia sulla tutela dei dati in relazione agli obblighi del datore di lavoro e alla disciplina della misurazione della temperatura corporea.
Novità privacy dall’Italia e dal mondo
Novità nel panorama italiano e internazionali in materia di privacy.
Provochi un danno per trattamento dei tuoi dati? Come difenderti
Breve ricognizione della giurisprudenza e della dottrina in merito al risarcimento da danno per violazione del trattamento dei dati personali.
Spamming: illegittimo sì, ma non è reato se non vi è un effettivo pregiudizio per l’interessato
Focus on spamming: quando sussiste il reato.
Pubbliredazionale
Consulenti del lavoro: responsabili del trattamento dei dati personali
L'innovazione tecnologia e l'era del digitale sono artefici delle tante novità con le quali si devono confrontare quotidianamente i professionisti.
Valutazione d’impatto - Garante per la protezione dei dati personali: gli specifici casi in cui è obbligatorio il Dpia
Lo scorso 11 ottobre con il provvedimento 467 il Garante per la protezione dei dati personali pubblicava un elenco delle tipologie di trattamenti soggetti al...
Trasferimento dati verso paesi terzi: dalle sanzioni amministrative pecuniarie alla reclusione (in Italia)
La versione aggiornata del Codice in materia di protezione dei dati personali italiano – come integrata per effetto delle modifiche introdotte dal recente D...
Come gestire un Data Breach ai sensi del Nuovo Regolamento UE
Alla luce delle importanti novità introdotte dal Nuovo Regolamento UE 2016/679, il presente articolo mira ad offrire conoscenze utili per identificare e gestire...
Privacy Shield - Parlamento europeo: l'accordo per il trasferimento dei dati negli Stati Uniti rischia (nuovamente) di saltare
Con l’avvento del Privacy Shield, dopo il crollo del cd. Safe Harbour, il problema del trasferimento dati dall’Europa agli Stati Uniti pareva essersi arginato...