Verifica dell effettiva applicazione delle Linee Guida sulla gestione dipendenti. Capitolo 1. Capitolo 2

Transcript

1 Verifica dell effettiva applicazione delle Linee Guida sulla gestione dipendenti Sulla destra è stato lasciato lo spazio per spuntare le frasi che pongono degli obblighi a chi tratta i dati dei dipendenti e soprattutto per apporre note. Il testo è stato depurato di alcune affermazioni generiche che non implicano niente da applicare. La spunta significa che quella prescrizione è attuata. Oppure si fa una nota per significare che le procedure vanno adattate o c è bisogno di un approfondimento. Capitolo 1 ( ) Capitolo 2 ( ) 2.1 Il rispetto dei princìpi di protezione dei dati personali Anche per i datori di lavoro pubblici il trattamento dei dati personali è disciplinato assicurando un livello elevato di tutela dei diritti e delle libertà fondamentali e conformando il medesimo trattamento ai princìpi di semplificazione, armonizzazione ed efficacia, sia per le modalità di esercizio dei diritti, sia per l'adempimento degli obblighi da parte dei titolari del trattamento I lavoratori, nel rapporto con il proprio datore di lavoro pubblico, hanno diritto di ottenere che il trattamento dei dati effettuato mediante l'uso di tecnologie telematiche sia conformato al rispetto dei predetti diritti e libertà. Assume quindi particolare rilievo la necessità che i soggetti pubblici colgano l'occasione della progressiva introduzione di nuove tecniche rispetto alle modalità tradizionali di trattamento dei dati su base cartacea per valutare preventivamente come rendere efficienti i propri sistemi informativi, individuando forme adeguate di trattamento che tutelino appieno i lavoratori. Le cautele e gli accorgimenti devono essere opportunamente graduati tenendo conto anche delle diverse forme del trattamento e della differente natura dei dati comuni e sensibili Liceità, pertinenza, trasparenza. Il datore di lavoro pubblico può lecitamente trattare dati personali dei lavoratori nella misura in cui ciò sia necessario per la corretta gestione del rapporto di lavoro, con 4 precise regole: VERIFICA LineeGuida DIPENDENTI Pag. 1

2 Restare nei limiti stabiliti da leggi e regolamenti per le proprie funzioni istituzionali Applicazione a leggi, contratti e in accordi collettivi per il rapporto di lavoro. Avvalersi di informazioni personali e modalità di trattamento proporzionate ai singoli scopi. Applicare in particolare i seguenti principi: Principio di necessità <<Art. 3. Principio di necessità nel trattamento dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.>> Ciò significa che nei trattamenti informatizzati è obbligatorio disporre di software che riduca al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.(vale anche per gli elenchi con informazioni sui dipendenti. Abbiamo perciò realizzato una apposito software (<FiltriPrivacy>) per Excel che consente di far questo per qualunque elenco o base dati già esistente o futuro.e obbligatorio disporre di un software di questo tipo ancor prima di cominciare il trattamento dei dati, altrimenti diventa illecito. <<Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento intermini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Princìpio di liceità: VERIFICA LineeGuida DIPENDENTI Pag. 2

3 i dati personali devono essere trattati in modo lecito e secondo correttezza. I dati personali trattati in violazione di anche una sola regola rilevante del Codice Privacy non possono essere utilizzati.. Questo principio (art. 11) è inderogabile e la sua violazione può essere sanzionata penalmente, civilmente per i danni materiali e morali recati e anche con sanzioni amministrative di rilevantissimo importo I dati personali devono essere raccolti e registrati solo per finalità legittime, determinate ed esplicite (cioè è vietato raccogliere dati per scopi generici; va chiaramente indicata nell informativa una finalità specifica ed essa deve essere esplicita, cioè chiaramente espressa all Interessato nell informativa). I dati trattati devono essere pertinenti rispetto alle finalità per le quali sono raccolti o successivamente trattati. In pratica, bisogna chiedersi per ogni dato: è davvero pertinente allo scopo di questa operazione? I dati trattati devono essere non eccedenti rispetto alle finalità: la raccolta dei dati vece essere rigorosamente limitata a quelli strettamente necessari per la finalità dichiarata!). In qualsiasi pratica vanno esposti solo i dati strettamente necessari, anche se l Ente dispone di un più ampio ventaglio di informazioni. In pratica, bisogna chiedersi per ogni trattamento od operazione: è davvero necessario per lo scopo di questa operazione? I dati trattati devono essere proporzionali allo scopo: ci vuole senso di misura sulla quantità e qualità dei dati che si utilizzano rispetto allo scopo da raggiungere in ciascuna operazione di trattamento. I dati trattati devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Se la legge prevede che i dati per una certa pratica siano conservati per x anni, la pratica s intende conclusa, non si deve effettuare più alcun trattamento che non sia di legge, ma lo scopo s intende raggiunto pienamente solamente decorso tale termine. Successivamente al raggiungimento delle finalità dichiarate, i dati devono essere distrutti (oppure conservati solo in una forma che non consenta l'identificazione dell'interessato; ad esempio cancellando il nome ecc.). L obbligo qui previsto trae origine dal fatto che il Codice Privacy vuole impedire che siano accumulati nel troppi dati, creando un super-archivio potenzialmente pericoloso. Inoltre, il diritto alla riservatezza implica che, una volta cessato il trattamento, l Interessato riprenda il più presto possibile il pieno controllo dei suoi dati personali e della sua privacy. Poiché è molto difficile dare attuazione pratica a questa prescrizione, nel nostro manuale sugli archivi abbiamo proposto un ingegnosa soluzione per mettersi in regola con poca fatica. Princìpio di qualità dei dati: VERIFICA LineeGuida DIPENDENTI Pag. 3

4 i dati personali devono essere esatti ed aggiornati (anche attraverso verifiche periodiche, soprattutto sui dati sensibili; se il dato era stato comunicato a terzi, anch essi vanno informati affinché provvedano a loro volta all aggiornamento). Attenersi alle proprie funzioni istituzionali possono essere trattati solo dati e compiute solo operazioni che corrispondono alle funzioni istituzionali assegnate alla Scuola Pubblica dalla normativa (per esempio, non è previsto tra le funzioni istituzionali quella di compiere ricerche statistiche che implichino l uso di dati personali degli alunni o di altre persone) Applicare i presupposti e i limiti previsti da leggi e regolamenti per il trattamento dei dati personali Applicare i presupposti per il trattamento dei dati COMUNI (art. 18 del <Codice Privacy>): 1) possono essere trattati solo i dati necessari e compiute operazioni necessarie a raggiungere lo scopo del trattamento. 2) I dati trattati e le operazioni compiute devono essere conformi alle funzioni istituzionali. Applicare i presupposti per il trattamento dei dati sensibili o giudiziari : 1) dando applicazione effettiva e concreta al principio di indispensabilità nel trattamento dei dati sensibili e giudiziari, il quale vieta di trattare informazioni o di effettuare operazioni che non siano realmente indispensabili per raggiungere determinate finalità previste specificamente (artt. 4, comma 1, lett. d) ed e), 22, commi 3, 5 e 9, e 112 del <Codice Privacy>); 2) limitando il trattamento di dati sensibili e giudiziari alle sole informazioni ed operazioni di trattamento individuate e rese pubbliche con il REGOLAMENTO adottato in conformità al parere del Garante (artt. 20, 21, 112 e 154 del <Codice Privacy>); nel caso delle Scuole Pubbliche trattasi del REGOLAMENTO adottato dal Ministero dell Istruzione con decreto n. 305 del Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica istruzione, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali». VERIFICA LineeGuida DIPENDENTI Pag. 4

5 Informare preventivamente e adeguatamente gli interessati (art. 13 del <Codice Privacy> sull informativa ): va data l informativa a TUTTI gli Interessati. L informativa deve essere ADEGUATA, cioè indicare tutti gli elementi previsti dall art. 13 e per i dati sensibili e giudiziari far riferimento al REGOLAMENTO adottato dal Ministero dell Istruzione. Adottare adeguate misure di sicurezza, idonee a preservare i dati da alcuni eventi tra cui accessi ed utilizzazioni indebiti, rispetto ai quali l'amministrazione può essere chiamata a rispondere anche civilmente e penalmente (artt. 15 e 31 e seguenti. del <Codice Privacy>). <<Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 33. Misure minime 1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici é consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. VERIFICA LineeGuida DIPENDENTI Pag. 5

6 Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici é consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati Finalità. Il trattamento dei dati personali, anche sensibili, riferibili ai lavoratori deve essere orientato all'esclusivo o prevalente scopo di adempiere agli obblighi e ai compiti in materia di rapporto di lavoro e di impiego alle dipendenze delle amministrazioni pubbliche. Oltre alle leggi e ai regolamenti, anche i contratti collettivi (nazionali e integrativi) contengono alcune previsioni che permettono di trattare lecitamente informazioni di natura personale anche per ciò che attiene all'attività sindacale (ad esempio, per determinare il trattamento economico fondamentale ed accessorio, per fruire di permessi o di aspettative sindacali, per accedere a qualifiche, per la mobilità o per la responsabilità disciplinare). Il trattamento effettuato dal soggetto pubblico deve attenersi in concreto a queste disposizioni e restare compatibile con le finalità per le quali i dati sono stati inizialmente raccolti o già trattati (art. 11, comma 1, lett. b), del <Codice Privacy>). <<Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento intermini compatibili con tali scopi;>> Comunicazione di dati personali ad organizzazioni sindacali: I contratti collettivi prevedono il diritto delle organizzazioni sindacali alla conoscenza di dati. E necessario che il doveroso rispetto degli obblighi di informativa, consultazione, concertazione e contrattazione, che comportano la comunicazione di informazioni alle medesime organizzazioni, avvenga nel rispetto dei princìpi di necessità e proporzionalità. VERIFICA LineeGuida DIPENDENTI Pag. 6

7 Occorre individuare chiaramente e mantenere ben distinti: i casi in cui è prevista la comunicazione alle organizzazioni sindacali solo di dati numerici aggregati e quindi anonimi i casi i in cui occorre dare informazioni riferite a dipendenti individuati. In quest ultimo caso va applicata un'ottica di trasparenza ma anche di graduazione dell'accesso delle organizzazioni sindacali ad informazioni personali che risultino necessarie per verificare in conformità alla legge la concreta applicazione delle disposizioni del contratto collettivo da parte del datore di lavoro. Pertanto in tali situazioni è consentita (ed è giustificata in rapporto al caso concreto) la conoscenza di dati riferiti a singoli lavoratori. In tale ottica, nell'ambito della disciplina contrattuale, si potrebbe pertanto prevedere: di regola un accesso preliminare del sindacato a dati anonimi aggregati, riferiti all'intera struttura lavorativa o a singole unità organizzative ovvero a gruppi di lavoratori soltanto dopo aver riscontrato anomalie o in presenza di specifiche esigenze di verifica, consentire (in casi espressamente previsti e circostanziati) all'organizzazione sindacale di conoscere anche informazioni personali relative a singoli o a gruppi di lavoratori. Ciò sempreché, nel caso concreto, sia effettivamente necessario per dimostrare la corretta applicazione dei criteri pattuiti e la comunicazione sia limitata alle informazioni pertinenti e non eccedenti rispetto a tale scopo. L'organizzazione sindacale, che non è soggetto pubblico e deve pertanto seguire la normativa privacy prevista per i soggetti privati (che prevede il consenso dell interessato), potrà a sua volta lecitamente comunicare a terzi o diffondere i dati personali ottenuti dall'amministrazione soltanto previa acquisizione del consenso informato dei dipendenti interessati o di altro presupposto equipollente (art. 24 del <Codice Privacy>). Ovviamente, è chiaro che un eventuale successivo trattamento illecito o non corretto delle informazioni acquisite da parte dell'organizzazione sindacale si svolge nella sfera di responsabilità della medesima organizzazione, che eventualmente ne risponde. Mentre il datore di lavoro pubblico, se si è attenuto ai principi sopra indicati, è sollevato da qualsiasi responsabilità. I soggetti pubblici potrebbero peraltro cogliere l'occasione dei rinnovi dei contratti collettivi per verificare l'attualità e la chiarezza di tali previsioni contrattuali, verificando anche la loro adeguatezza rispetto a casi che si verificano in concreto (si pensi al problema della contestuale iscrizione dei lavoratori a più organizzazioni sindacali contestata da alcuna di esse). VERIFICA LineeGuida DIPENDENTI Pag. 7

8 Capitolo 3 - Corretta individuazione delle figure. ( ) Chi tratta dati personali deve essere sempre oggetto di una designazione Nel rispetto dei princìpi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), le amministrazioni devono disciplinare le modalità del trattamento, designando gli eventuali soggetti responsabili e, in ogni caso, le persone fisiche incaricate, che possono acquisire lecitamente conoscenza dei dati inerenti alla gestione del rapporto di lavoro, attenendosi alle funzioni svolte e a idonee istruzioni scritte (artt. 4, comma 1, lett. g) e h), 29 e 30). Chi è il <Responsabile del trattamento di dati personali> È, infatti, facoltà delle amministrazioni designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilità in base all'organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati. Ogni persona fisica o giuridica o ente organismo designato quale RESPONSABILE DI TRATTAMENTO soltanto a condizione che possegga l'esperienza, la capacità e l'affidabilità richieste dalla legge (art. 29 del <Codice Privacy>). Chi è l <Incaricato del trattamento di dati personali > È necessario invece che ogni lavoratore sia preposto per iscritto, in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all'accesso e all'utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati può essere effettuata nominativamente o, specie nell'ambito di strutture organizzative complesse, mediante l attribuzione formale del lavoratore a unità organizzative per le quali venga altresì previamente individuato, per iscritto, l'ambito del trattamento consentito (art. 30 del <Codice Privacy>). Insomma una nomina collettiva per unità organizzative omogenee Medico competente. VERIFICA LineeGuida DIPENDENTI Pag. 8

9 Anche il datore di lavoro pubblico deve svolgere alcuni trattamenti di dati in applicazione della normativa in materia di igiene e sicurezza del lavoro (DLgs 626/1994).Naturalmente deve gestire una serie di documenti e attività che possono aver rilievo per la normativa Privacy. Il molti casi deve anche nominare il <Medico Competente>. Chi è il <Medico Competente> Com è noto il datore di lavoro che abbia dipendenti esposti a un rischio potenziale per la salute ha l obbligo di nominare formalmente quale <Medico competente> un medico specializzato in Medicina del Lavoro o equivalente, che eserciterà una specifica <sorveglianza sanitaria> sui lavoratori a rischio e sugli ambienti di lavoro. Se tale rischio non sussiste, non scatta l obbligo della nomina del <Medico competente> Il <Medico competente> ha il dovere di effettuare la sorveglianza sanitaria obbligatoria mediante accertamenti preventivi e periodici sui lavoratori (art. 33 d.p.r. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies, 70, 72-undecies e 87 DLgs 626/1994). e, ai sensi degli artt. 16 e 17 del DLgs 626/1994). Tutto ciò implica un correlato trattamento dei dati contenuti in tali cartelle cliniche. DETTA CARTELLA CONTIENE MOLTEPLICI DATI SENSIBILI ed è custodita presso l'amministrazione "con salvaguardia del segreto professionale, e consegnata in copia al lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (artt. 4, comma 8, e 17, comma 1, lett. d), d.lg. n. 626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'istituto superiore prevenzione e sicurezza sul lavoro-ispesl (artt. 59-sexiesdecies, comma 4, 70, comma 4, 72-undecies, comma 3 e 87, comma 3, lett c), d.lg. n. 626/1994), in originale e in busta chiusa In relazione a tali disposizioni, al medico competente è consentito trattare dati sanitari dei lavoratori anche mediante annotazione nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate. Ciò, quale che sia il titolare del trattamento effettuato a cura del medico. Alle predette cartelle il datore di lavoro non può accedere né può visionarle, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali dell'amministrazione (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti) ma, come detto, "con salvaguardia del segreto professionale" Per i lavoratori esposti a rischio, il datore di lavoro pubblico è tenuto ad adottare le misure preventive e protettive, su parere del <medico competente> o qualora quest'ultimo lo informi di anomalie imputabili all'esposizione a rischio, ma non può conoscere le eventuali patologie accertate, ma solo la VERIFICA LineeGuida DIPENDENTI Pag. 9

10 valutazione finale circa l'idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni. Infatti, per ogni lavoratore esposto a rischio il <medico competente> effettua periodicamente una valutazione per verificare che egli sia idoneo o meno alla mansione che svolge. Tale valutazione si conclude con un giudizio di <idoneità>, <non idoneità> o di <idoneità parziale> o <idoneità con riserva, subordinata a certe condizioni>. In questo specifico contesto il datore di lavoro ha diritto di avere copia del giudizio di idoneità del lavoratore a svolgere certe mansioni, perché ha il dovere riapplicare le conseguenti misure (per esempio spostare il lavoratore ad altra mansione oppure limitare le lavorazioni che deve eseguire, ecc.). Si noti che già l eventuale valutazione di <non idoneità> o di <idoneità parziale> o <idoneità con riserva, subordinata a certe condizioni> costituisce DATO SENSIBILE, in quanto idonea a rivelare l esistenza di patologie e la loro gravità. Se il medico può farsi assistere da personale sanitario dipendente dello stesso datore di lavoro pubblico, in questo caso tale personale deve essere designato quale <incaricato del trattamento> dei dati personali impartendo ad esso specifiche istruzioni per salvaguardare la segretezza delle informazioni trattate (art. 30 del <Codice Privacy>). In tal caso, a prescindere da quale sia il titolare del trattamento e dagli eventuali obblighi in tema di segreto d'ufficio, il medico competente deve predisporre misure idonee a garantire il rispetto del segreto professionale da parte dei propri collaboratori che non siano tenuti per legge al segreto professionale, mettendoli ad esempio a conoscenza di tali disposizioni e delle relative sanzioni (art. 10 del Codice di deontologia medica del 16 dicembre 2006; art. 4 del Codice deontologico per gli infermieri del maggio del 1999) Note importanti: Quanto segue non è contenuto nelle Linee Guida, ma ci sembra opportuno approfondire. Queste note possono essere saltate dalle scuole che non hanno <Medico competente> né RSPP esterno. Un piccolissimo <<buco>> nel REGOLAMENTO adottato dal Ministero Istruzione per le scuole statali Purtroppo nel REGOLAMENTO adottato dal Ministero Istruzione non è contemplata la circostanza della comunicazione al <Medico Competente> nei casi in cui il Dlgs 626/1994 ne prevede la nomina. Può avvenire il caso in cui la scuola pubblica deve comunicare al <Medico Competente> dati sensibili relativi a un dipendente, però questa eventualità non è prevista. Caso dell RSPP esterno Identico è il caso in cui un Ente si serve di un RSPP (Responsabile Servizio di Prevenzione e Protezione) esterno o di ASPP (Addetto al Servizio di Prevenzione e Protezione) esterno. VERIFICA LineeGuida DIPENDENTI Pag. 10

11 Nell ambito della gestione dei rapporti col <Medico competente>, delle misure di emergenza e di primo soccorso, il RSPP o l ASPP vengono a conoscere e devono gestire informazioni relative ad eventuali non idoneità di dipendenti, patologie menomanti o handicap di un dipendente (o di un alunno) tali da rendergli più difficile l evacuazione dell edificio in caso d emergenza, dovendo quindi apprestare particolari forme di aiuto. Oppure, possono ricevere dal lavoratore segnalazione di disturbi o patologie che richiedono interventi del Datore di lavoro). Se essi sono dipendenti della scuola stessa, nessun problema, a condizione che abbiano una specifica nomina a <Incaricati> o <Responsabili> privacy, con specifiche istruzioni che tengano conto di tali circostanze (vedi il facsimile nel nostro manuale sulle <Nomine>). Pertanto il predetto flusso di dati personali, anche sensibili, non rappresenta una <comunicazione> nel senso attribuito a tale termine dal <Codice Privacy>. Diverso è il caso in cui si tratti di <esterni> alla scuola. In questo caso il flusso di dati personali rappresenta una comunicazione. Pertanto è assolutamente indispensabile che il REGOLAMENTO Ministeriale preveda espressamente tale comunicazione. Ma così non è. E vero che esiste un provvedimento legislativo che autorizza determinate operazioni e una dichiarazione di rilevante interesse pubblico per le attività relative alla gestione del rapporto di lavoro (l art. 112 del Dlgs 196), però non basta. Infatti l art. 20, comma 1, prevede: << Il trattamento dei dati sensibili da parte di soggetti pubblici é consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite>>. I <tipi di dati> sono identificati nella scheda 1 del REGOLAMENTO, laddove al paragrafo 1.a punto 1.f viene evidenziato che i dati di salute sono trattati ai fini di <igiene e sicurezza sul luogo di lavoro>. Invece manca l identificazione delle operazioni eseguibili: l RSPP esterno non è indicato tra i possibili destinatari di comunicazione di dati sensibili. Il Regolamento avrebbe dovuto indicare questi ulteriori elementi. Purtroppo non l ha fatto perché prevede l autorizzazione per la comunicazione soltanto agli << Organi preposti alla vigilanza in materia di igiene e sicurezza sui luoghi di lavoro (Dlgs 626/1994)>>. Questa espressione identifica le USL e lo SPISAL, ma non può riferirsi al <medico competente> e tantomeno al RSPP esterno. Quindi manca uno dei requisiti previsti dall art. 20: l identificazione dei tipi di operazioni eseguibili, cioè la comunicazione al <Medico competente> o al <RSPP> esterno. L unica soluzione è che il <medico Competente> (o l RSPP esterno o l ASPP esterno) sia designato dalla scuola quale <Responsabile esterno del trattamento> dell Istituto stesso, però è un po macchinoso (il facsimile è nel nostro manuale <Nomine>). Ci auguriamo che nella prossima revisione del Regolamento il MPI provveda alle necessarie integrazioni. VERIFICA LineeGuida DIPENDENTI Pag. 11

12 Capitolo 4 4. Dati sensibili e rapporto di lavoro Le pubbliche amministrazioni devono adottare maggiori cautele se le informazioni personali sono idonee a rivelare aspetti particolarmente delicati della vita privata dei propri dipendenti, quali la salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d'altro genere e l'origine razziale ed etnica. In linea generale il datore di lavoro pubblico può utilizzare informazioni sensibili relative al proprio personale in attuazione della normativa in materia di instaurazione e gestione di rapporti di lavoro di qualunque tipo, per finalità di formazione, nonché per concedere benefici economici e altre agevolazioni (artt. 112, 95 e 68 del <Codice Privacy>). Come sopra ricordato, il datore di lavoro SCUOLA PUBBLICA deve limitare il trattamento dei dati sensibili e giudiziari alle sole informazioni ed operazioni individuate e rese pubbliche con il REGOLAMENTO adottato dal MINISTERO Dell ISTRUZIONE (artt. 20, 21, 112 e 154 del <Codice Privacy>). Nel perseguire tali finalità occorre comunque rispettare i princìpi di necessità (PER I DATI COMUNI) e di indispensabilità (PER I DATI SENSIBILI O GIUDIZIARI) che impongono di ridurre al minimo l'utilizzo di dati personali e, quando non si possa prescindere dall'uso di informazioni personali sensibili o giudiziarie, di trattare dati solo in riferimento ai tipi di dati e di operazioni indispensabili in relazione alla specifica finalità di gestione del rapporto di lavoro (artt. 3 e 22 del <Codice Privacy>). Da quando è entrato in vigore il predetto REGOLAMENTO, il trattamento da parte di un soggetto pubblico che non sia previsto da esso è illecito e, oltre all'inutilizzabilità dei dati trattati, può comportare l'adozione di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 11, commi 1, lett. a) e 2, art. 154 del <Codice Privacy>) VERIFICA LineeGuida DIPENDENTI Pag. 12