La corsa all’adeguamento al GDPR e la necessità di far sopravvivere i precedenti capisaldi del legittimo trattamento hanno trovato un punto di incontro nel provvedimento del Garante relativo ai dati particolari in ambito lavorativo e associativo nonché dei dati genetici
Il Garante Privacy italiano, sulla scia delle previsioni del GDPR e del D.Lgs.101/2018, ha ritenuto opportuno riprendere il contenuto delle autorizzazioni generali per il trattamento dei dati particolari, introducendo alcune limitazioni. In esito alle consultazioni con le associazioni di categoria, con le organizzazioni rappresentative dei settori di riferimento e dei soggetti interessati, il Garante ha emanato il provvedimento 146/2019 che prevede alcuni importanti elementi di novità. Il provvedimento, che diviene l’unico vademecum applicabile, riguarda il trattamento di categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, così come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.
In particolare, sulla base di un processo di adattamento alle nuove regole del GDPR, il Garante definisce ora un ambito più ampio di operatività, stabilendo che in presenza di un dato personale in grado di identificare una persona fisica e di un rapporto di lavoro (subordinato, autonomo, libero-professionale di amministrazione o collaborazione, etc.) trovano sempre applicazione le prescrizioni del provvedimento. È specificato, infatti, che le prescrizioni del provvedimento valgono nei confronti di tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro (agenzie per il lavoro, imprese, enti, associazioni, organismi, etc.).
Inoltre, le finalità del trattamento dei dati dovranno rientrare nell’ambito dell’instaurazione, gestione ed estinzione del rapporto di lavoro e della difesa di un diritto in sede giudiziaria, in sede amministrativa o nelle procedure di arbitrato e di conciliazione. Attenzione – però – alle rigorose procedure per il trattamento di tali dati: ove, infatti, vi sia necessità che documenti che contengono categorie particolari di dati siano trasmessi a più funzioni della medesima organizzazione in ragione delle varie competenze, dovranno essere trasmessi solo i dati strettamente necessari. Inoltre, dovranno essere adottate modalità di trasmissione in grado di garantire la ricezione esclusivamente da parte degli uffici interessati e del solo personale autorizzato.
Ma non solo: da tale quadro di intervento, sono state escluse alcune precedenti autorizzazioni generali, che pertanto hanno definitivamente cessato di produrre i propri effetti quali quelle sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici; sul trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; sul trattamento dei dati sensibili da parte dei liberi professionisti e – infine – sul trattamento dei dati sensibili da parte di diverse categorie di titolari. A questo punto occorrerà – sulla base del principio comunitario di privacy by design – rivedere le procedure interne delle strutture organizzative e valutare se i processi in atto superano il vaglio di conformità alle nuove regole del luglio 2019 o debbano essere riviste e attualizzate.
Avv. Paola Gobbi partner – UNIOLEX Stucchi & Partners – www.uniolex.com
