È stato pubblicato sulla GU dello scorso 29 Luglio un provvedimento del Garante per la Privacy (n. 145 del 5 giugno 2019), con il quale vengono fornite prescrizioni sul trattamento di categorie di dati particolari, il tutto ai fini di adeguamento del sistema alle novità introdotte dal GDPR. Quest’ultimo infatti è e rimane il perno su cui ruota il sistema, ma gli si affiancano la vecchia normativa, d. Lgs. 196/2003 profondamente modificato, e le successive norme introdotte, ivi comprese quelle provenienti dal Garante.

Nel menzionato provvedimento sono contenute, tra le altre, prescrizioni che riguardano associazioni religiose e investigatori privati, ma troviamo anche «Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro», quelli di cui è più facile fare ricorso ed uso nella gestione del personale (o HR, Human Resources), quali dati biometrici, genetici o relativi a idee e convinzioni.

Questo provvedimento trova quindi applicazione per tutti gli enti che trattano dati quali, ad esempio, le agenzie per il lavoro, gli enti di formazione, i consulenti del lavoro, i medici specialisti. Le categorie di interessati cui si fa riferimento spaziano dai lavoratori dipendenti nonché i candidati ad un impiego, consulenti, liberi professionisti, ma anche cariche dirigenziali e terzi danneggiati. Ovviamente il Trattamento deve essere necessario ai sensi dell’Art. 9 GDPR e trova il proprio fondamento nell’adempimento di obblighi normativi ogni attività accessoria e collaterale, incluso il rivolgersi ad un’autorità giudiziaria, ma anche, si legge nella norma, “per perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo”. Si noti però come i doveri di protezione abbiano inizio già nella fase di un semplice colloquio o candidatura. La tutela viene pertanto estesa e pone forti limiti alla possibilità di trattare dati particolari, anche se vi fosse stato il consenso dell’Interessato. Ciò si inquadra perfettamente con il principio base del GDPR della assoluta minimizzazione dei dati che possono essere richiesti e, quindi trattati.

Si citano ad esempio la possibilità di trattare dati rivelatori di convinzioni religiose, filosofiche, politiche o adesione ad organizzazioni solo nei casi in cui sia strettamente necessario, quali le festività, per servizi mensa, periodi elettorali ma, aspetto non da poco, “ il datore di lavoro non può trattare dati genetici al fine di stabilire l’idoneità professionale di un dipendente, neppure con il consenso dell’interessato.” Si tratta di un pesantissimo limite che ben potrebbe incidere anche solo in un colloquio di lavoro.

Rigorose le modalità previste per il trattamento ad iniziare dalla raccolta, che dovrà essere, di regola, presso l’Interessato, ed anche le comunicazioni agli interessati dovranno avvenire in forma riservata (attenzione quindi a chi invia mail collettive o notizie su gruppo Whatsapp) e, in caso di comunicazione cartacea, in plico chiuso. 

Anche per altri tipi di associazioni e categorie il provvedimento stabilisce rigide norme, ma è intuitivo come le regole imposte possano andare a toccare l’intera organizzazione aziendale che, ad esempio, potrebbe essere costretta a cambiare le modalità di comunicazione dei turni o delle ferie ai propri dipendenti. Ma conseguenze pesanti ben possono andare a toccare una fase di selezione del personale. Il mancato rispetto di queste stringenti norme può comportare pesanti sanzioni economiche, ma anche la possibilità da parte del Garante di emettere sanzioni di natura interdittiva o limitativa all’uso e trattamento dati, che ben potrebbe paralizzare l’intera attività imprenditoriale. 

Premesso che il rispetto dei dati è l’architrave del sistema, la previsione di norme così rigorose ben potrebbe considerarsi, talvolta, un eccesso ed un carico eccessivo imposto dalle autorità nazionali.