TUTELA DELLA PRIVACY - D. LGS. 196/2003 - LINEE GUIDA
PER
Il Garante per la protezione
dei dati personali con provvedimento del 23 novembre 2006, recante le “Linee
guida in materia di trattamento dei dati personali di lavoratori per finalità
di gestione del rapporto di lavoro alle dipendenze di datori di lavoro
privati”, pubblicato nella Gazzetta Ufficiale del 7 dicembre 2006, n.
Questi in sintesi i punti
principali delle linee guida.
Principi generali
Il datore di lavoro può
trattare informazioni di carattere personale strettamente indispensabili per
dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali
dati e assicurare idonee misure di sicurezza per proteggerli da indebite
intrusioni o illecite divulgazioni.
Il lavoratore deve essere
informato in modo puntuale sull’uso che verrà fatto
dei suoi dati e gli deve essere
consentito di esercitare agevolmente i diritti che la normativa sulla privacy
gli riconosce (accesso ai dati, aggiornamento, rettifica, cancellazione etc).
Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in
modo chiaro tutte le informazioni in suo possesso
Cartellini identificativi, Intranet, bacheche aziendali
Nelle aziende private può
essere eccessivo indicare sul cartellino identificativo del dipendente dati
anagrafici o generalità: a seconda dei casi può
bastare un codice identificativo o il solo nome o solo il ruolo professionale.
Peraltro, a parere dello
scrivente, la previsione di legge, art. 36 Legge n. 248/2006, che impone di
munire, dal 1° ottobre 2006, i dipendenti che operano nei cantieri edili di
apposito cartellino di riconoscimento, contenete quantomeno la ragione sociale
ed indirizzo dell’impresa, il nome e cognome del dipendente, il luogo, la data
di nascita e la fotografia del dipendente, non si pone in contrasto con quanto
indicato nelle linee guida dal Garante. Infatti si
tratta di un utilizzo indispensabile, lecito, pertinente e trasparente dei dati
personali al fine di dare una corretta esecuzione al rapporto di lavoro in
adempimento di una previsione normativa. Inoltre, le generalità riportate nel
cartellino di riconoscimento, a parere dello scrivente, non possono essere
sostituite con altri altre informazioni (quali codici
identificativi, il solo nome o il ruolo professionale svolto). Infatti la necessità di tale sostituzione è prevista dal
Garante solo quando il cartellino ha il solo scopo di migliorare il rapporto
fra operatori ed utenti o clienti. Nel caso in esame la tessera di
riconoscimento risponde all’esigenza, di rilevanza ben maggiore, di consentire
alle autorità competenti un immediato riconoscimento del lavoratore al fine di
accertare la correttezza del rapporto di lavoro. Sempre a parere dello
scrivente, per l’utilizzo di tali dati sul cartellino di riconoscimento non è
necessario neppure il consenso del lavoratore, trattandosi di un adempimento
imposto dalla legge. Anzi, l’eventuale mancato consenso all’utilizzo delle
proprie generalità per questa finalità sarebbe di impedimento
all’instaurazione, o alla prosecuzione, del rapporto di lavoro.
Senza consenso non si
possono comunicare informazioni ad associazioni di datori di lavoro, di ex
dipendenti o a conoscenti, familiari, parenti. Il consenso è necessario anche
per pubblicare informazioni personali (foto, curricula)
nella Intranet aziendale e a maggior ragione in Internet. Nella bacheca
aziendale possono essere affissi solo ordini di servizio, turni lavorativi o
feriali. Non si possono invece diffondere emolumenti percepiti, sanzioni
disciplinari, assenze per malattia, adesione ad associazioni.
Dati sanitari
I dati sanitari vanno
conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a
consegnare al proprio ufficio un
certificato senza la diagnosi ma con la sola indicazione dell’inizio e
della durata presunta dell’infermità. Il
datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti
sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o
malattie professionali all’Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla
patologia denunciata.
Dati biometrici
Non è lecito l’uso
generalizzato e incontrollato di dati biometrici, specie se ricavati dalle
impronte digitali. L’uso può essere giustificato solo in casi particolari, per
presidiare, ad esempio, accessi ad “aree sensibili” (processi produttivi
pericolosi, locali destinati a custodia di beni, documenti riservati). Anche quando l’uso è consentito non è ammessa
la costituzione di banche dati centralizzate: è infatti
sufficiente la memorizzazione su una smart card in uso esclusivo del
dipendente.
Di seguito si pubblica il
testo del provvedimento in commento.
Garante per
Linee guida in materia di trattamento di dati
personali di lavoratori per finalità di gestione del rapporto di lavoro alle
dipendenze di datori di lavoro privati
(Deliberazione n. 53 del 23 novembre 2006
)
1. Premessa
1.1. Scopo delle linee guida.
Per fornire indicazioni e
raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati
personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di
lavoro privati il Garante ravvisa l’esigenza di adottare le presenti linee
guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto,
altresì, di precedenti decisioni dell’Autorità.
Le indicazioni fornite non
pregiudicano l’applicazione delle disposizioni di legge o di regolamento che
stabiliscono divieti o limiti più restrittivi in relazione a taluni settori o a
specifici casi di trattamento di dati (artt. 113, 114 e 184, comma 3, del
Codice) (1).
1.2. Ambiti considerati.
Le tematiche prese in
considerazione si riferiscono prevalentemente alla comunicazione e alla
diffusione dei dati, all’informativa che il datore di lavoro deve rendere ai
lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e
il diritto d’accesso.
Le operazioni di trattamento
riguardano per lo più:
- dati
anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici,
fotografie e dati sensibili riferiti anche a terzi, idonei in particolare a
rivelare il credo religioso o l’adesione a sindacati; dati idonei a rivelare lo
stato di salute, di regola contenuti in certificati medici o in altra
documentazione prodotta per giustificare le assenze dal lavoro o per fruire di
particolari permessi e benefici previsti anche nei contratti collettivi;
- informazioni più
strettamente connesse allo svolgimento dell’attività lavorativa, quali la
tipologia del contratto (a tempo determinato o indeterminato, a tempo pieno o
parziale, etc.); la qualifica e il livello professionale, la retribuzione
individuale corrisposta anche in virtù di provvedimenti “ad
personam”; l’ammontare di premi; il tempo di lavoro
anche straordinario; ferie e permessi individuali (fruiti o residui); l’assenza
dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di
lavoro; trasferimenti ad altra sede di lavoro; procedimenti e provvedimenti
disciplinari.
I medesimi dati sono:
- contenuti in atti e documenti
prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con
riferimento alle informazioni raccolte mediante annunci contenenti offerte di
lavoro, questa Autorità si è già pronunciata (2) o nel corso del rapporto di
lavoro;
- contenuti in documenti e/o
file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto
di lavoro per finalità di esecuzione del contratto e successivamente raccolti e
conservati in fascicoli personali, archivi cartacei o elettronici aziendali (3);
- resi disponibili in albi e
bacheche o, ancora, nelle intranet aziendali.
2. Il rispetto dei principi di protezione dei dati personali
2.1. Liceità, pertinenza, trasparenza.
Le predette informazioni di
carattere personale possono essere trattate dal datore di lavoro nella misura
in cui siano necessarie per dare corretta esecuzione
al rapporto di lavoro; talvolta, sono anche indispensabili per attuare
previsioni contenute in leggi, regolamenti, contratti e accordi collettivi.
In ogni caso, deve trattarsi
di informazioni pertinenti e non eccedenti e devono essere osservate tutte le
disposizioni della vigente disciplina in materia di protezione dei dati
personali che trae origine anche da direttive comunitarie.
In particolare, il Codice in
materia di protezione dei dati personali (Codice), in attuazione delle
direttive 95/46/Ce e 2002/58/Ce, prescrive che il
trattamento di dati personali avvenga:
- nel rispetto di principi
di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11);
- informando preventivamente
e adeguatamente gli interessati (art. 13);
- chiedendo preventivamente
il consenso solo quando, anche a seconda della natura
dei dati, non sia corretto avvalersi di uno degli altri presupposti
equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
- rispettando, se si
trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante
nelle autorizzazioni anche di carattere generale rilasciate (artt. 26 e 27 del
Codice; cfr., in particolare, l’autorizzazione
generale n. 1/2005);
- adottando le misure di
sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed
utilizzazioni indebite, rispetto ai quali può essere chiamato a rispondere
anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del Codice).
2.2. Finalità.
Il trattamento di dati
personali riferibili a singoli lavoratori, anche sensibili, è lecito, se
finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad
esempio, per verificare l’esatto adempimento della prestazione o commisurare
l’importo della retribuzione, anche per lavoro
straordinario, o dei premi da corrispondere, per quantificare le ferie e i
permessi, per appurare la sussistenza di una causa legittima di assenza).
Alcuni scopi sono altresì
previsti dalla contrattazione collettiva per la determinazione di circostanze
relative al rapporto di lavoro individuale (ad esempio, per la fruizione di
permessi o aspettative sindacali e periodi di comporto o rispetto alle
percentuali di lavoratori da assumere con particolari tipologie di contratto)
o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti
previdenziali e assistenziali).
Se queste finalità sono in
termini generali lecite, occorre però rispettare il
principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett.
b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla
base del trattamento di dati personali non deve essere infatti incompatibile
con le finalità per le quali i medesimi sono stati raccolti.
3. Titolare e responsabile del trattamento
3.1. Titolare e responsabile.
Ai fini della protezione dei
dati personali assume un ruolo rilevante identificare le figure soggettive che
a diverso titolo possono trattare i dati, definendo chiaramente le rispettive
attribuzioni, in particolare, quelle del titolare e del responsabile del
trattamento (artt. 4, comma 1, lett. f) e g), 28 e 29
del Codice).
In linea di principio, per
individuare il titolare del trattamento rileva l’effettivo centro di
imputazione del rapporto di lavoro, al di là dello schema societario
formalmente adottato (4).
Peraltro, specie nelle
realtà imprenditoriali più articolate, questa identificazione può risultare non
sempre agevole e tale circostanza costituisce in qualche caso un ostacolo anche
per l’esercizio dei diritti di cui all’art. 7 (5).
3.2. Gruppi di imprese.
Le società che appartengono
a gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; d.lg. 2 aprile 2002, n. 74)
hanno di regola una distinta ed autonoma titolarità del trattamento in
relazione ai dati personali dei propri dipendenti e collaboratori (artt. 4, comma 1, lett. f) e 28 del Codice).
Tuttavia, nell’ambito dei
gruppi, le società controllate e collegate possono delegare la società
capogruppo a svolgere adempimenti in materia di lavoro, previdenza ed
assistenza sociale per i lavoratori indicati dalla legge (6): tale attività implica la
designazione della società capogruppo quale responsabile del trattamento ai
sensi dell’art. 29 del Codice (7).
Analoga soluzione (art. 31,
comma 2, d.lg. n. 276/2003) deve essere adottata per i trattamenti di dati
personali, aventi identica natura, effettuati nell’ambito dei consorzi di
società cooperative (nei quali a tal fine può essere altresì designata una
delle società consorziate).
3.3. Medico competente.
Considerazioni ulteriori
devono essere svolte in relazione a taluni specifici trattamenti che possono o
devono essere effettuati all’interno dell’impresa in conformità alla disciplina
in materia di sicurezza e igiene del lavoro (8).
Tale disciplina, che attua
anche alcune direttive comunitarie e si colloca nell’ambito del più generale
quadro di misure necessarie a tutelare l’integrità psico-fisica dei lavoratori
(art. 2087 cod. civ.), pone direttamente in capo al medico competente in
materia di igiene e sicurezza dei luoghi di lavoro la sorveglianza sanitaria
obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il
correlativo trattamento dei dati contenuti in cartelle cliniche).
In quest’ambito, il medico
competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33
d.P.R. n. 303/1956; art. 16 d.lg. n. 626/1994) e istituisce (curandone
l’aggiornamento) una cartella sanitaria e di rischio (in conformità alle
prescrizioni contenute negli artt. 17, 59-quinquiesdecies, comma 2, lett. b),
59-sexiesdecies e 70 d.lg. n. 626/1994).
Detta cartella è custodita
presso l’azienda o l’unità produttiva, “con salvaguardia del segreto
professionale, e [consegnata in] copia al lavoratore stesso al momento della
risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta”
(art. 4, comma 8, d.lg. n. 626/1994); in caso di cessazione del rapporto di
lavoro le cartelle sono trasmesse all’Istituto superiore prevenzione e
sicurezza sul lavoro-Ispesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in
originale e in busta chiusa (9).
In relazione a tali
disposizioni, il medico competente è deputato a trattare i dati sanitari dei
lavoratori, procedendo alle dovute annotazioni nelle cartelle sanitarie e di rischio,
e curando le opportune misure di sicurezza per salvaguardare la segretezza
delle informazioni trattate in rapporto alle finalità e modalità del
trattamento stabilite. Ciò, quale che sia il titolare del trattamento
effettuato dal medico (10).
Alle predette cartelle il
datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne
un’efficace custodia nei locali aziendali (anche in vista di possibili
accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma,
come detto, “con salvaguardia del segreto professionale” (11).
Il datore di lavoro, sebbene
sia tenuto, su parere del medico competente (o qualora il medico lo informi di
anomalie imputabili all’esposizione a rischio), ad
adottare le misure preventive e protettive per i lavoratori interessati, non
può conoscere le eventuali patologie accertate, ma solo la valutazione finale
circa l’idoneità del dipendente (dal punto di vista sanitario) allo svolgimento
di date mansioni.
In tal senso, peraltro,
depongono anche le previsioni legislative che dispongono la comunicazione
all’Ispesl della cartella sanitaria e di rischio in caso di cessione (art.
59-sexiesdecies, comma 4, d. lgs. n. 626/1994) o cessazione del rapporto di
lavoro (art. 72-undecies d.lgs. n. 626/1994), precludendosi
anche in tali occasioni ogni loro conoscibilità da
parte del datore di lavoro.
4. Dati biometrici e accesso ad “aree riservate”
4.1. Nozione.
In più circostanze, anche
ricorrendo al procedimento previsto dall’art. 17 del Codice, è stato prospettato
al Garante l’utilizzo di dati biometrici sul luogo di lavoro (12), con
particolare riferimento all’impiego di tali informazioni per accedere ad aree
specifiche dell’impresa.
Si tratta di dati ricavati
dalle caratteristiche fisiche o comportamentali della persona a seguito di un
apposito procedimento (in parte automatizzato) e poi risultanti in un modello
di riferimento. Quest’ultimo consiste in un insieme di valori numerici
ricavati, attraverso funzioni matematiche, dalle caratteristiche individuali sopra
indicate, preordinati all’identificazione personale attraverso opportune
operazioni di confronto tra il codice numerico ricavato ad ogni accesso e
quello originariamente raccolto.
L’uso generalizzato e
incontrollato di dati biometrici, specie se ricavati dalle impronte digitali,
non è lecito. Tali dati, per la loro peculiare natura, richiedono l’adozione di
elevate cautele per prevenire possibili pregiudizi a danno degli interessati,
con particolare riguardo a condotte illecite che determinino
l’abusiva “ricostruzione” dell’impronta, partendo dal modello di riferimento, e
la sua ulteriore “utilizzazione” a loro insaputa.
L’utilizzo di dati
biometrici può essere giustificato solo in casi particolari, tenuto conto delle
finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di
lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle
attività ivi svolte: si pensi, ad esempio, a processi produttivi pericolosi
(13) o sottoposti a segreti di varia natura (14) o al fatto che particolari
locali siano destinati alla custodia di beni, documenti segreti o riservati o
oggetti di valore (15).
4.2. Sistemi di rilevazione biometrica.
Inoltre, nei casi in cui
l’uso dei dati biometrici è consentito, la centralizzazione in una banca dati
delle informazioni personali (nella forma del predetto modello) trattate
nell’ambito del descritto procedimento di riconoscimento biometrico risulta di
regola sproporzionata e non necessaria. I sistemi informativi devono essere infatti configurati in modo da ridurre al minimo
l’utilizzazione di dati personali e da escluderne il trattamento, quando le
finalità perseguite possono essere realizzate con modalità tali da permettere
di identificare l’interessato solo in caso di necessità (artt. 3 e 11 del
Codice).
In luogo, quindi, di
modalità centralizzate di trattamento dei dati biometrici, deve ritenersi
adeguato e sufficiente avvalersi di sistemi efficaci di verifica e di
identificazione biometrica basati sulla lettura delle impronte digitali memorizzate,
tramite il predetto modello cifrato, su un supporto posto nell’esclusiva
disponibilità dell’interessato (una smart card o un dispositivo analogo) e
privo di indicazioni nominative riferibili a quest’ultimo (essendo sufficiente
attribuire a ciascun dipendente un codice individuale).
Tale modalità di
riconoscimento, infatti, è idonea ad assicurare che possano accedere all’area
riservata solo coloro che, autorizzati preventivamente, decidano su base
volontaria di avvalersi della predetta carta o del dispositivo analogo.
Il confronto delle impronte
digitali con il modello memorizzato sulla carta o sul dispositivo può essere
realizzato ricorrendo a comuni procedure di confronto sulla carta o dispositivo
stesso, evitando così la costituzione di un archivio di delicati dati
biometrici. Del resto, in caso di smarrimento della carta o dispositivo, sono
allo stato circoscritte le possibilità di abuso rispetto ai dati biometrici ivi
memorizzati.
4.3. Misure di sicurezza e tempi di conservazione.
I dati personali necessari
per realizzare il modello possono essere trattati esclusivamente durante la
fase di registrazione; per il loro utilizzo, il titolare del trattamento deve
raccogliere il preventivo consenso informato degli interessati.
In aggiunta alle misure di sicurezza
minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a
protezione dei dati, impartendo agli incaricati apposite istruzioni scritte
alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione
delle carte o dispositivi loro affidati.
I dati memorizzati devono
essere accessibili al personale preposto al rispetto delle misure di sicurezza
all’interno dell’impresa, per l’esclusiva finalità della verifica della loro
osservanza (rispettando peraltro la disciplina sul controllo a distanza dei
lavoratori: art. 4, comma
I dati raccolti non possono
essere di regola conservati per un arco di tempo superiore a sette giorni e
vanno assicurati, anche quando tale arco temporale possa
essere lecitamente protratto, idonei meccanismi di cancellazione automatica dei
dati.
4.4. Verifica preliminare.
Resta salva, per fattispecie
particolari o in ragione di situazioni eccezionali non considerate in questa
sede, la presentazione da parte di titolari del trattamento che intendano
discostarsi dalle presenti prescrizioni, di apposito interpello al Garante, ai
sensi dell’art. 17 del Codice.
5. Comunicazione e diffusione di dati personali
5.1. Comunicazione.
La conoscenza dei dati
personali relativi ad un lavoratore da parte di terzi è ammessa se
l’interessato vi acconsente.
Se il datore di lavoro non
può avvalersi correttamente di uno degli altri presupposti del trattamento
equipollenti al consenso (art. 24 del Codice), non può prescindersi
dal consenso stesso per comunicare dati personali (ad esempio, inerenti alla
circostanza di un’avvenuta assunzione, allo status o alla qualifica ricoperta,
all’irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a
terzi quali:
-associazioni (anche di
categoria) di datori di lavoro, o di ex dipendenti (anche della medesima
istituzione);
- conoscenti, familiari e
parenti.
Fermo restando il rispetto
dei principi generali sopra richiamati in materia di trattamento di dati
personali (cfr. punto
2), rimane impregiudicata la facoltà del datore di lavoro di disciplinare le
modalità del proprio trattamento designando i soggetti, interni o esterni,
incaricati o responsabili del trattamento, che possono acquisire conoscenza dei
dati inerenti alla gestione del rapporto di lavoro, in relazione alle funzioni
svolte e a idonee istruzioni scritte alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30). Ciò, ove necessario,
anche mediante consegna di copia di documenti all’uopo predisposti.
È altresì impregiudicata la
facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima
dati ricavati dalle informazioni relative a singoli o gruppi di lavoratori: si
pensi al numero complessivo di ore di lavoro straordinario prestate o di ore
non lavorate a livello aziendale o all’interno di singole unità produttive,
agli importi di premi aziendali di risultato individuati per fasce, o
qualifiche/livelli professionali, anche nell’ambito di singole funzioni o unità
organizzative).
5.2. Intranet aziendale.
Allo stesso modo, il
consenso del lavoratore è necessario per pubblicare informazioni personali allo
stesso riferite (quali fotografia, informazioni
anagrafiche o curricula) nella intranet aziendale (e
a maggior ragione in Internet), non risultando tale ampia circolazione di dati
personali di regola “necessaria per eseguire obblighi derivanti dal contratto
di lavoro “ (art. 24, comma 1, lett. b), del Codice). Tali obblighi possono
trovare esecuzione indipendentemente da tale particolare forma di divulgazione
che comunque, potendo a volte risultare pertinente (specie in realtà produttive
di grandi dimensioni o ramificate sul territorio), richiede il preventivo
consenso del singolo dipendente, salva specifica disposizione di legge.
5.3. Diffusione.
In assenza di specifiche
disposizioni normative che impongano al datore di
lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24, comma
1, lett. a) o la autorizzino, o comunque di altro presupposto ai sensi dell’art.
24 del Codice, la diffusione stessa può avvenire solo se necessaria per dare
esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1,
lett. b) del Codice). È il caso, ad esempio, dell’affissione nella bacheca
aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di
disposizioni riguardanti l’organizzazione del lavoro e l’individuazione delle
mansioni cui sono deputati i singoli dipendenti (16).
Salvo che ricorra una di
queste ipotesi, non è invece di regola lecito dare
diffusione a informazioni personali riferite a singoli lavoratori, anche
attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni
interne destinate alla collettività dei lavoratori, specie se non correlate
all’esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche
in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come
nelle ipotesi di:
- affissione relativa ad
emolumenti percepiti o che fanno riferimento a particolari condizioni personali
(17);
- sanzioni disciplinari
irrogate o informazioni relative a controversie giudiziarie;
- assenze dal lavoro per
malattia;
- iscrizione e/o adesione
dei singoli lavoratori ad associazioni.
5.4. Cartellini identificativi.
Analogamente, si possono determinare
altre forme di diffusione di dati personali quando
dette informazioni debbano essere riportate ed esibite su cartellini
identificativi appuntati ad esempio sull’abito o sulla divisa del lavoratore
(di solito, con lo scopo di migliorare il rapporto fra operatori ed utenti o
clienti).
Al riguardo, questa Autorità
ha già rilevato (18),
in relazione allo svolgimento del rapporto di lavoro alle dipendenze di
soggetti privati, che l’obbligo di portare in modo visibile un cartellino
identificativo può trovare fondamento in alcune prescrizioni contenute in
accordi sindacali aziendali, il cui rispetto può essere ricondotto alle
prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto con il
pubblico, si è ravvisata la sproporzione dell’indicazione sul cartellino di
dati personali identificativi (generalità o dati anagrafici), ben potendo
spesso risultare sufficienti altre informazioni (quali codici identificativi,
il solo nome o il ruolo professionale svolto), per sé sole in grado di essere d’ausilio
all’utenza.
5.5. Modalità di comunicazione.
Salvi i casi in cui forme e
modalità di divulgazione di dati personali discendano
da specifiche previsioni (cfr. art. 174, comma 12, del
Codice) (19), il datore di lavoro deve utilizzare forme di comunicazione
individualizzata con il lavoratore, adottando le misure più opportune per
prevenire un’indebita comunicazione di dati personali, in particolare se
sensibili, a soggetti diversi dal destinatario, ancorché incaricati di talune
operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico
chiuso o spillato; invitando l’interessato a ritirare personalmente la
documentazione presso l’ufficio competente; ricorrendo a comunicazioni
telematiche individuali).
Analoghe cautele, tenendo
conto delle circostanze di fatto, devono essere adottate in relazione ad altre
forme di comunicazione indirizzate al lavoratore dalle quali possano
desumersi vicende personali (20).
6. Dati idonei a rivelare lo stato di salute di lavoratori
6.1. Dati sanitari.
Devono essere osservate
cautele particolari anche nel trattamento dei dati sensibili del lavoratore
(art. 4, comma 1, lett. d), del Codice) e, segnatamente, di quelli dati idonei
a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l’informazione
relativa all’assenza dal servizio per malattia, indipendentemente dalla
circostanza della contestuale enunciazione della diagnosi (21).
Per tali informazioni,
l’ordinamento appresta anche fuori della disciplina di protezione dei dati
personali particolari accorgimenti per contenere, nei limiti
dell’indispensabile, i dati dei quali il datore di lavoro può venire a
conoscenza per dare esecuzione al contratto (cfr. già
l’art. 8 della legge n. 300/1970).
In questo contesto, la
disciplina generale contenuta nel Codice deve essere coordinata ed integrata,
come si è visto (cfr. punto
3.3.), con altre regole settoriali (22) o speciali (23).
Resta comunque vietata la
diffusione di dati sanitari (art. 26, comma 5, del
Codice).
6.2. Assenze per ragioni di salute.
Con specifico riguardo al
trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la
normativa di settore e le disposizioni contenute nei contratti collettivi
giustificano il trattamento dei dati relativi ai casi di infermità (e talora a
quelli inerenti all’esecuzione di visite specialistiche o di accertamenti
clinici) che determini un’incapacità lavorativa (temporanea o definitiva, con
la conseguente sospensione o risoluzione del contratto). Non diversamente, il
datore di lavoro può trattare dati relativi a invalidità o all’appartenenza a
categorie protette, nei modi e per le finalità prescritte dalla vigente
normativa in materia.
A tale riguardo, infatti,
sussiste un quadro normativo articolato che prevede anche obblighi di
comunicazione in capo al lavoratore e di successiva certificazione nei
confronti del datore di lavoro e dell’ente previdenziale della condizione di
malattia: obblighi funzionali non solo a giustificare i trattamenti normativi
ed economici spettanti al lavoratore, ma anche a consentire al datore di
lavoro, nelle forme di legge (24), di verificare le reali condizioni di salute
del lavoratore.
Per attuare tali obblighi viene utilizzata un’apposita modulistica, consistente in un
attestato di malattia da consegnare al datore di lavoro –con la sola
indicazione dell’inizio e della durata presunta dell’infermità: c.d.
“prognosi”– e in un certificato di diagnosi da consegnare, a cura del
lavoratore stesso, all’Istituto nazionale della previdenza sociale (Inps) o
alla struttura pubblica indicata dallo stesso Istituto d’intesa con la regione,
se il lavoratore ha diritto a ricevere l’indennità di malattia a carico
dell’ente previdenziale (25).
Tuttavia, qualora dovessero
essere presentati dai lavoratori certificati medici redatti su modulistica
diversa da quella sopra descritta, nella quale i dati di prognosi e di diagnosi
non siano separati, i datori di lavoro restano obbligati, ove possibile, ad adottare idonee misure e accorgimenti volti a prevenirne
la ricezione o, in ogni caso, ad oscurali (26).
6.3. Denuncia all’Inail.
Diversamente, per dare
esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni
casi il datore di lavoro può anche venire a conoscenza delle condizioni di
salute del lavoratore. Tra le fattispecie più ricorrenti deve essere annoverata
la denuncia all’Istituto assicuratore (Inail) avente ad
oggetto infortuni e malattie professionali occorsi ai lavoratori; essa,
infatti, per espressa previsione normativa, deve essere corredata da specifica
certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).
In tali casi, pur essendo
legittima la conoscenza della diagnosi da parte del datore di lavoro, resta
fermo a suo carico l’obbligo di limitarsi a comunicare all’ente assistenziale
esclusivamente le informazioni sanitarie relative o collegate alla patologia
denunciata e non anche dati sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui
eventuale comunicazione sarebbe eccedente e non pertinente - con la conseguente
loro inutilizzabilità -, trattandosi di dati non rilevanti nel caso oggetto di
denuncia (art. 11, commi 1 e 2 del Codice) (27).
6.4. Altre informazioni relative alla salute.
A tali fattispecie devono
essere aggiunti altri casi nei quali può, parimenti, effettuarsi un trattamento
di dati relativi alla salute del lavoratore (e finanche di suoi congiunti),
anche al fine di permettergli di godere dei benefici di legge (quali, ad
esempio, permessi o periodi prolungati di aspettativa con conservazione del
posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di
handicap (28).
Allo stesso modo, il datore
di lavoro può venire a conoscenza dello stato di tossicodipendenza del
dipendente, ove questi richieda di accedere a programmi riabilitativi o
terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso
l’onere di presentare (nei termini prescritti dai contratti collettivi)
specifica documentazione medica al datore di lavoro (ai sensi dell’art. 124, commi 1 e 2, d.P.R. n. 309/1990).
6.5. Comunicazioni all’Inps.
È altresì legittima la
comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che
il datore di lavoro faccia ai soggetti pubblici (enti
previdenziali e assistenziali) tenuti a erogare le prescritte indennità in
adempimento a specifici obblighi derivanti dalla legge, da altre norme o
regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni
indispensabili.
In particolare, il datore di
lavoro può comunicare all’Istituto nazionale della previdenza sociale (Inps) i
dati del dipendente assente, anche per un solo giorno, al fine di farne
controllare lo stato di malattia (art. 5, commi 1 e
7. Informativa
Il datore di lavoro è tenuto
a rendere al lavoratore, prima di procedere al trattamento dei dati personali
che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non
richieda il suo consenso), un’informativa individualizzata completa degli
elementi indicati dall’art. 13 del Codice (30).
Con particolare riferimento
a realtà produttive nelle quali, per ragioni organizzative (ad esempio, per
l’articolata dislocazione sul territorio o per il ricorso consistente a forme
di out-sourcing) o dimensionali, può risultare difficoltoso per il singolo
lavoratore esercitare i propri diritti ai sensi dell’art. 7 del Codice, è opportuna
la designazione di un responsabile del trattamento appositamente deputato alla
trattazione di tali profili (o di responsabili esterni alla società, che
effettuino, ad esempio, l’attività di gestione degli archivi amministrativi dei
dipendenti), indicandolo chiaramente nell’informativa fornita.
8. Misure di sicurezza
8.1. Dati sanitari.
Il datore di lavoro titolare
del trattamento è tenuto ad adottare ogni misura di
sicurezza, anche minima, prescritta dal Codice a protezione dei dati personali
dei dipendenti comunque trattati nell’ambito del rapporto di lavoro, ponendo
particolare attenzione all’eventuale natura sensibile dei medesimi (art. 31 ss.
e Allegato B) al Codice).
Dette informazioni devono
essere conservate separatamente da ogni altro dato personale dell’interessato;
ciò, deve trovare attuazione anche con riferimento ai fascicoli personali
cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate
alla custodia dei dati sensibili, inclusi quelli idonei a rivelare lo stato di
salute del lavoratore, da conservare separatamente o in modo da non consentirne
una indistinta consultazione nel corso delle ordinarie
attività amministrative) (31).
Del pari, nei casi in cui i
lavoratori producano spontaneamente certificati medici su modulistica diversa
da quella descritta al
punto 6.2., il datore di lavoro non può, comunque, utilizzare
ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve adottare
gli opportuni accorgimenti per non rendere visibili le diagnosi contenute nei
certificati (ad esempio, prescrivendone la circolazione in busta chiusa previo
oscuramento di tali informazioni); ciò, al fine di impedire ogni accesso
abusivo a tali dati da parte di soggetti non previamente designati come
incaricati o responsabili (art. 31 e ss. del Codice).
8.2. Incaricati.
Resta fermo l’obbligo del
datore di lavoro di preporre alla custodia dei dati personali dei lavoratori
apposito personale, specificamente incaricato del trattamento, che “deve avere
cognizioni in materia di protezione dei dati personali e ricevere una
formazione adeguata. In assenza di un’adeguata formazione degli addetti al
trattamento dei dati personali il rispetto della riservatezza dei lavoratori
sul luogo di lavoro non potrà mai essere garantito” (32).
8.3. Misure fisiche ed organizzative.
Il datore di lavoro deve
adottare, tra l’altro (cfr. artt. 31 ss. del Codice), misure organizzative e
fisiche idonee a garantire che:
- i luoghi ove si svolge il
trattamento di dati personali dei lavoratori siano opportunamente protetti da
indebite intrusioni;
- le comunicazioni personali
riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da
escluderne l’indebita presa di conoscenza da parte di terzi o di soggetti non
designati quali incaricati;
- siano impartite chiare
istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto
d’ufficio, anche con riguardo a dipendenti del medesimo datore di lavoro che
non abbiano titolo per venire a conoscenza di
particolari informazioni personali;
- sia prevenuta
l’acquisizione e riproduzione di dati personali trattati elettronicamente, in
assenza di adeguati sistemi di autenticazione o autorizzazione e/o di documenti
contenenti informazioni personali da parte di soggetti non autorizzati (33);
- sia prevenuta
l’involontaria acquisizione di informazioni personali da parte di terzi o di
altri dipendenti: opportuni accorgimenti, ad esempio, devono essere presi in presenza di una particolare conformazione o dislocazione
degli uffici, in assenza di misure idonee volte a prevenire la diffusione delle
informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla
trattazione di informazioni riservate in spazi aperti, anziché all’interno di
locali chiusi).
9. Esercizio dei diritti previsti dall’art. 7 del
Codice e riscontro del datore di lavoro
9.1. Diritto di accesso.
I lavoratori interessati
possono esercitare nei confronti del datore di lavoro i diritti previsti
dall’art. 7 del Codice (nei modi di cui agli artt. 8 e ss.), tra cui il diritto
di accedere ai dati che li riguardano (anziché, in quanto tale, all’intera
documentazione che li contiene) (34), di ottenerne l’aggiornamento, la
rettificazione, l’integrazione, la cancellazione, la trasformazione in forma
anonima o il blocco se trattati in violazione di legge, di opporsi al
trattamento per motivi legittimi.
La richiesta di accesso che
non faccia riferimento ad un particolare trattamento o a specifici dati o
categorie di dati, deve ritenersi riferita a tutti i dati personali che riguardano
il lavoratore comunque trattati dall’amministrazione (art. 10) e può riguardare
anche informazioni di tipo valutativo 35, alle condizioni e nei limiti di
cui all’art. 8, comma 5.
Tra essi
non rientrano notizie di carattere contrattuale o professionale che non hanno
natura di dati personali in qualche modo riferibili a persone identificate o
identificabili (36).
9.2. Riscontro del datore di lavoro.
Il datore di lavoro
destinatario della richiesta è tenuto a fornire un riscontro completo alla
richiesta del lavoratore interessato, senza limitarsi alla sola elencazione
delle tipologie di dati detenuti, ma comunicando in
modo chiaro e intelligibile tutte le informazioni in suo possesso (37).
9.3. Tempestività del riscontro.
Il riscontro deve essere fornito
nel termine di 15 giorni dal ricevimento dell’istanza dell’interessato
(ritualmente presentata
(38)); il termine più lungo, pari a 30 giorni, può essere
osservato, dandone comunicazione all’interessato, solo se le operazioni
necessarie per un integrale riscontro sono di particolare complessità o se
ricorre altro giustificato motivo (art. 146 del Codice).
Pertanto il datore di
lavoro, specie nelle realtà produttive di grande dimensione (39), deve pertanto predisporre
procedure organizzative adeguate per dare piena attuazione alle disposizioni
del Codice in materia di accesso ai dati e all’esercizio degli altri diritti,
anche attraverso l’impiego di appositi programmi finalizzati ad una accurata
selezione dei dati relativi a singoli lavoratori, nonché alla semplificazione
delle modalità e alla compressione dei tempi per il riscontro.
9.4. Modalità del riscontro.
Il riscontro può essere
fornito anche oralmente; tuttavia, in presenza di una
specifica istanza, il datore di lavoro è tenuto a trasporre i dati su supporto
cartaceo o informatico o a trasmetterli all’interessato per via telematica
(art. 10).
Muovendo dalla previsione
dell’art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre
accorgimenti idonei “a semplificare le modalità e a ridurre i tempi per il
riscontro al richiedente”, può risultare legittima la richiesta
dell’interessato di ricevere la comunicazione dei dati in questione presso la
propria sede lavorativa o la propria abitazione (40).
9.5. Dati personali e documentazione.
Come più volte
dichiarato dal Garante (41), l’esercizio del diritto di accesso consente
di ottenere, ai sensi dell’art. 10 del Codice, solo la comunicazione dei dati
personali relativi al richiedente detenuti dal titolare del trattamento e da
estrarre da atti e documenti; non permette invece di richiedere a quest’ultimo
il diretto e illimitato accesso a documenti e ad intere tipologie di atti, o la
creazione di documenti allo stato inesistenti negli archivi, o la loro
innovativa aggregazione secondo specifiche modalità prospettate
dall’interessato o, ancora, di ottenere, sempre e necessariamente, copia dei
documenti detenuti, ovvero di pretendere particolari modalità di riscontro
(salvo quanto previsto per la trasposizione dei dati su supporto cartaceo: cfr.
art. 10, comma 2, del Codice).
Specie nei casi in cui è
elevata la mole di informazioni personali detenute dal titolare del
trattamento, il diritto di accesso ai dati può essere soddisfatto mettendo a
disposizione dell’interessato il fascicolo personale (42), dal quale
successivamente possono essere estratte le informazioni personali.
La scelta circa l’eventuale
esibizione o consegna in copia di atti e documenti contenenti i dati personali
richiesti può essere effettuata dal titolare del trattamento nel solo caso in
cui l’estrapolazione dei dati personali da tali documenti risulti
particolarmente difficoltosa per il titolare medesimo (43); devono essere poi
omessi eventuali dati personali riferiti a terzi (art. 10,
comma 4, del Codice) (44). L’adozione di tale modalità di riscontro non
comporta l’obbligo in capo al titolare di fornire copia di tutti i documenti
che contengano i medesimi dati personali
dell’interessato, quando gli stessi dati siano conservati in più atti, lettere
o note.
Nel fornire riscontro ad una
richiesta di accesso formulata ai sensi degli artt. 7 e 8 del Codice, il
titolare del trattamento deve, poi, comunicare i dati richiesti ed
effettivamente detenuti, e non è tenuto a ricercare o raccogliere altri dati
che non siano nella propria disponibilità e non siano
oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o
perché originariamente trattati e non più disponibili, ovvero perché, come nel
caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra
dipendenti di un determinato datore di lavoro, non siano mai stati
nell’effettiva e libera disponibilità di quest’ultimo (si pensi al caso di dati
contenuti nella corrispondenza intercorsa tra dipendenti (45) ) - al di là dei profili di tutela della
segretezza della corrispondenza che pur vengono in rilievo -, non
competerebbero le decisioni in ordine alle loro finalità e modalità di
trattamento (cfr. art. 4, comma 1, lett. f), del
Codice).
9.6. Aggiornamento.
Infine, il lavoratore può
ottenere l’aggiornamento dei dati personali a sé riferiti (46).
In ordine, poi,
all’eventuale richiesta di rettifica dei dati personali indicati nel profilo
professionale del lavoratore, la medesima può avvenire solo in
presenza della prova dell’effettiva e legittima attribuibilità delle
qualifiche rivendicate dall’interessato, ad esempio in base a “decisioni o
documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di
lavoro, provvedimenti di organi giurisdizionali relativi all’interessato o
altri titoli o atti che permettano di ritenere provata, agli effetti e sul
piano dell’applicazione della [disciplina di protezione dei dati personali], la
richiesta dell’interessato” (che può comunque far valere in altra sede, sulla
base di idoneo materiale probatorio, la propria pretesa al riconoscimento della
qualifica o mansione rivendicata) (47).
(1) Le indicazioni rese
tengono altresì conto, per i profili esaminati, della Raccomandazione n. R (89)
2 del Consiglio d’Europa relativa alla protezione dei dati a carattere
personale utilizzati ai fini dell’occupazione, del Parere 8/2001sul trattamento
dei dati personali nel contesto dell’occupazione, reso il 13 settembre 2001 dal
Gruppo dei Garanti europei, in http://ec.europa.eu e del Code of practice,
“Protection of workers’ personal data “, pubblicato dall’Organizzazione
internazionale del lavoro (ILO).
(2) Cfr. Provv. 10 gennaio
(3) Cfr. Provv. 23 aprile 2002, doc. web n. 1065065
(4) Cfr., in merito, i principi affermati in
giurisprudenza: Cass. 24 marzo 2003, n. 4274; v. altresì Cass. 1° aprile 1999,
n. 3136
(5) In merito v. di seguito il punto 9
(6) Cfr. art. 1 della legge 11
gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg. 10
settembre 2003, n. 276; l. 14 febbraio 2003, n. 30
(7) Come già accade per i soggetti indicati al
menzionato art. 1 della legge n. 12/1979
(8) In particolare, d.lg. 19 settembre 1994, n. 626 e
successive modificazioni e integrazioni
(9) Cfr. circolare Ispesl 3
marzo 2003, n. 2260
(10) In tal senso, v. l’ autorizzazione generale n.
1/2005, in rapporto al diverso titolo in base al quale il medico opera quale
libero professionista, o quale dipendente del datore di lavoro o di aziende
sanitarie locali.
(11) La cui violazione è peraltro penalmente sanzionata
ai sensi dell’art. 92, lett. a), d.lg. n. 626/1994
(12) Cfr. Provv. 21 luglio 2005, doc. web n. 1150679
(13) Cfr. Provv. 15 giugno 2006, docc. web nn. 1306523, 1306530 e 1306551
(14) Cfr. Provv. 23 novembre 2005, doc. web n. 1202254
(15) Cfr. Provv. 15 giugno 2006, doc. web n. 1306098; v.,
inoltre, Provv. 26 luglio 2006, doc. web n. 1318582
(16) Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11 febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752
(17) Cfr., in relazione alla diffusione di informazioni
in grado di rivelare situazioni di handicap, Provv. 27 febbraio
(18) Cfr. Provv. 11 dicembre 2000, doc. web n. 30991
(19) Cfr. Provv. 12 maggio 2005, doc. web n. 1137798
(20) Cfr., con riguardo alle dizioni riportate sui
“cedolini” dello stipendio, o su documenti aventi la medesima funzione, Provv.
31 dicembre
(21) Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il
punto 50 della sentenza della Corte di giustizia delle Comunità europee, 6
novembre 2003, C-101/01, Lindqvist
(22) Tra le quali, ad esempio, la richiamata
regolamentazione contenuta nel d.lg. n. 626/1994 o nell’art. 5 della legge n.
300/1970 sugli accertamenti sanitari facoltativi
(23) Si pensi, ad esempio, ai divieti contenuti negli
artt. 5 e 6 della legge 5 giugno 1990, n.
(24) Cfr. Provv. 15 aprile 2004, doc. web n. 1092564
(25) Cfr. art. 2, d.l. 30
dicembre 1979, n. 663, conv. in l., con mod., con
l’art.
(26) Cfr. di seguito al punto 8
(27) In tal senso v. il Provv. 15 aprile 2004, doc. web
n. 1092564
(28) Cfr. art. 33, legge 5
febbraio 1992, n. 104; si vedano anche le pertinenti disposizioni contenute nel
d.lg. 26 marzo 2001, n. 151
(29) V. Provv. 28 settembre 2001, cit
(30) V. anche il Parere 8/2001, cit., secondo il quale
“i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo
sul loro conto (direttamente o da altre fonti), quali siano gli scopi delle
operazioni di trattamento previste o effettuate per tali dati sia per il
presente che per il futuro.
(31) Cfr. Provv. 30 ottobre 2001, doc. web n. 39085
(32) Parere 8/2001, cit.)
(33) Cfr. Provv. 27 luglio 2004, doc. web n. 1099386
(34) Cfr. Provv. 16 giugno 2005, doc. web n. 1149957
(35) V. già Provv. 10 marzo 2001, doc. web n. 40285; cfr. Provv.
15 novembre 2004, doc. web n.
1102939. Raccomandazione n. 1/2001 concernente i dati relativi
alla valutazione del personale del Gruppo art. 29, Wp 42.
(36) In tal senso, con riguardo ad esempio alle mansioni
proprie di un determinato profilo professionale cfr. Provv. 29 ottobre 2003,
doc. web n. 1053781
(37) In tal senso cfr., in relazione ad informazioni
personali conservate con tecniche di cifratura, Provv. 21 novembre 2001, doc.
web n. 39773
(38) Cfr. Provv. 17 febbraio 2005, doc. web n. 1148228,
con il quale si è dichiarato inammissibile un ricorso presentato a seguito di
istanza avanzata dalle “segreterie nazionali” di alcune organizzazioni
sindacali priva di sottoscrizione.
(39) Cfr. ad esempio Provv. 2
luglio 2003, doc. web n.
1079989; Provv. 24 giugno 2003, doc. web n. 1132725
(40) Cfr. Provv. 17 marzo 2005, doc. web n. 1170467
(41) Cfr. da ultimo Provv. 7
luglio 2005, doc. web n. 1149559; Provv. 16 giugno 2005, doc. web n. 1149999
(42) Provv. 16 ottobre 2002, doc. web n. 1066447
(43) Cfr. Provv. 25 novembre 2002, doc. web n. 1067321
(44) Cfr. Provv. 20 aprile 2005, doc. web n. 1134190; già Provv.
27 dicembre
(45) Cfr. Provv. 21 dicembre 2005, doc. web n. 1219039
(46) Cfr., in relazione all’aggiornamento del dato
relativo al titolo di studio, Provv. 6 settembre 2002, doc. web n.
1066183
(47) Cfr., in relazione all’aggiornamento delle
informazioni relative al titolo di studio, Provv. 9 gennaio 2003, doc. web n. 1067817