Riguardo all’autorizzazione del Garante per la protezione dei dati personali per il trattamento dei dati sensibili nei rapporti di lavoro, anzitutto ne va individuato il preciso fondamento normativo, precisamente cioè: l’art. 26, al comma 1, del Codice, in base al quale i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, e il medesimo articolo, al comma 4, lett. d), il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza.

Ciò però vale nei limiti previsti dall’autorizzazione e delle disposizioni del codice di deontologia e di buona condotta di cui all’art. 111 del Codice.

Relativamente all’autorizzazione in questione, poi, se ne deve evidenziare il campo applicativo particolarmente ampio, dato che investe i dati sensibili attinenti alle più svariate figure lavorative e professionali, quali i lavoratori subordinati consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari, ma anche ai co.co.pro., inclusi i lavoratori a progetto, o ad altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio; e ancor prima i candidati all’instaurazione dei rapporti di lavoro.

Va sottolineato che sono inclusi persino i terzi danneggiati nell’esercizio dell’attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.

Dal punto di vista contenutistico, va detto che quelle dell’autorizzazione n. 1 del Garante, come per le altre autorizzazioni generali, sono regole da intendersi date rebus sic stantibus, pronte ad essere cioè modificate e meglio ancora modellate, o comunque non più valide, in base alla peculiarità della situazione di contesto in cui si inseriscono.

Nella circostanza, il Garante non trascura le dovute cautele, tra cui la necessità di garantire i principi di stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi (in rilevo proprio per i rapporti di lavoro).

L’applicazione specifica di tali principi si nota in varie parti del provvedimento autorizzatorio in oggetto. Anzitutto, ciò emerge quando il testo prevede che i dati sensibili possono essere comunicati e, ove necessario, diffusi nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità previste, o ancora quando si consideri le finalità del trattamento.

Il trattamento dei dati sensibili deve essere indispensabile per perseguire fini peraltro ben determinati come l’adempimento di specifici obblighi, l’esecuzione di specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, o il perseguimento di finalità di salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo.

Stesso discorso vale per le modalità di trattamento, prevedendosi che, fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 ss. del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto a obblighi, compiti o finalità previste.

Il Garante si preoccupa chiaramente di precisare che vanno fatti salvi gli obblighi di informare l’interessato e, ove necessario, di acquisirne il consenso scritto, ex articoli 13, 23 e 26 del Codice. Concludendo, è interessante osservare come in materia giuslavoristica, e anche in tale provvedimento, la protezione dei dati personali si associ a un opportuno, quanto giusto, favor verso il lavoratore, sulla base dell’indefettibile presupposto della sua inevitabile debolezza socio-economica – di volta in volta di vario grado di intensità – rispetto alla controparte datoriale e alla sua libertà e potere di organizzazione.

Si precisa che le dichiarazioni e opinioni espresse dall’autore nel presente breve contributo hanno natura personale e quindi non vincolante per gli enti di appartenenza del medesimo. (Fonte: Microsoft)