|
Garante per la protezione dei dati personali |
|
Provvedimento 23/11/2006 |
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott.
Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott.
Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), con particolare riferimento all'art. 154,
comma 1, lettera h);
Esaminate le istanze (segnalazioni, reclami e quesiti) di lavoratori,
organizzazioni sindacali ed imprese, pervenute in materia di trattamento
di dati personali di lavoratori operanti alle dipendenze di datori di
lavoro privati;
Viste le pronunce adottate dall'Autorità in ordine a specifiche
operazioni di trattamento di dati personali effettuate nell'ambito della
gestione del rapporto di lavoro, anche a seguito di ricorso degli
interessati;
Ritenuta l'opportunità di procedere alla definizione, in tale contesto,
di un quadro unitario di misure ed accorgimenti necessari e opportuni in
grado di fornire ulteriori orientamenti utili per i datori di lavoro e i
lavoratori in ordine alle operazioni di trattamento di dati personali
connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i
comportamenti più appropriati da adottare;
Rilevata l'esigenza che tale quadro sia riassunto in alcune linee guida,
suscettibili di periodico aggiornamento, di cui verrà curata la più
ampia pubblicità, anche attraverso il sito Internet dell'Autorità
(http://www.garanteprivacy.it);
Ritenuta la necessità che le misure e gli accorgimenti relativi al
trattamento di dati biometrici di cui al punto 4 delle Linee guida di cui
al successivo dispositivo siano altresì oggetto di una prescrizione del
Garante ai sensi degli articoli 17, 154, comma 1, lettera c) e 167, comma
2 del Codice, considerati i maggiori rischi specifici che tale trattamento
pone per i diritti e le libertà fondamentali, nonchè per la dignità
dell'interessato;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art.
15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Delibera:
1. di adottare le «Linee guida in materia di trattamento di dati
personali di lavoratori per finalità di gestione del rapporto di lavoro
alle dipendenze di datori di lavoro privati», di cui al documento che è
allegato quale parte integrante della presente deliberazione (Allegato 1);
2. di prescrivere ai titolari del trattamento interessati l'adozione delle
misure e degli accorgimenti per il trattamento di dati biometrici di cui
al punto 4 delle medesime Linee guida, ai sensi degli articoli 17, 154,
comma 1, lettera c) e 167, comma 2, del Codice;
3. che copia del presente provvedimento, unitamente alle menzionate
«Linee guida», sia trasmessa al Ministero della giustizia-Ufficio
pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del
Codice.
Roma, 23 novembre 2006
Il presidente: Pizzetti
Il relatore: Paissan
Il segretario generale: Buttarelli
Allegato 1
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Linee guida in materia di trattamento di dati personali di lavoratori per
finalità di gestione del rapporto di lavoro alle dipendenze di datori di
lavoro privati (Deliberazione n. 53 del 23 novembre 2006)
1. Premessa.
1.1. Scopo delle linee guida.
Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di
trattamento effettuate con dati personali (anche sensibili) di lavoratori
operanti alle dipendenze di datori di lavoro privati il Garante ravvisa
l'esigenza di adottare le presenti linee guida, suscettibili di periodico
aggiornamento, nelle quali si tiene conto, altresì, di precedenti
decisioni dell'Autorità.
Le indicazioni fornite non pregiudicano l'applicazione delle disposizioni
di legge o di regolamento che stabiliscono divieti o limiti più
restrittivi in relazione a taluni settori o a specifici casi di
trattamento di dati (articoli 113, 114 e 184, comma 3, del Codice) 1.
1.2. Ambiti considerati.
Le tematiche prese in considerazione si riferiscono prevalentemente alla
comunicazione e alla diffusione dei dati, all'informativa che il datore di
lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a
rivelare lo stato di salute e il diritto d'accesso.
Le operazioni di trattamento riguardano per lo più:
• dati anagrafici di lavoratori (assunti o cessati dal servizio), dati
biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in
particolare a rivelare il credo religioso o l'adesione a sindacati; dati
idonei a rivelare lo stato di salute, di regola contenuti in certificati
medici o in altra documentazione prodotta per giustificare le assenze dal
lavoro o per fruire di particolari permessi e benefici previsti anche nei
contratti collettivi;
• informazioni più strettamente connesse allo svolgimento
dell'attività lavorativa, quali la tipologia del contratto (a tempo
determinato o indeterminato, a tempo pieno o parziale, etc.); la qualifica
e il livello professionale, la retribuzione individuale corrisposta anche
in virtù di provvedimenti «ad personam»; l'ammontare di premi; il tempo
di lavoro anche straordinario; ferie e permessi individuali (fruiti o
residui); l'assenza dal servizio nei casi previsti dalla legge o dai
contratti anche collettivi di lavoro; trasferimenti ad altra sede di
lavoro; procedimenti e provvedimenti disciplinari.
I medesimi dati sono:
• contenuti in atti e documenti prodotti dai lavoratori in sede di
assunzione (rispetto ai quali, con riferimento alle informazioni raccolte
mediante annunci contenenti offerte di lavoro, questa Autorità si è già
pronunciata 2 o nel corso del rapporto di lavoro;
• contenuti in documenti e/o file elaborati dal (o per conto del) datore
di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione
del contratto e successivamente raccolti e conservati in fascicoli
personali, archivi cartacei o elettronici aziendali 3;
• resi disponibili in albi e bacheche o, ancora, nelle intranet
aziendali.
2. Il rispetto dei principi di protezione dei dati personali.
2.1. Liceità, pertinenza, trasparenza.
Le predette informazioni di carattere personale possono essere trattate
dal datore di lavoro nella misura in cui siano necessarie per dare
corretta esecuzione al rapporto di lavoro; talvolta, sono anche
indispensabili per attuare previsioni contenute in leggi, regolamenti,
contratti e accordi collettivi.
In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e
devono essere osservate tutte le disposizioni della vigente disciplina in
materia di protezione dei dati personali che trae origine anche da
direttive comunitarie.
1 Le indicazioni rese tengono altresì conto, per i profili esaminati,
della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa alla
protezione dei dati a carattere personale utilizzati ai fini
dell'occupazione, del Parere 8/2001 sul trattamento dei dati personali nel
contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo dei
Garanti europei, in http://ec.europa.eu/justice home/fsj/privacy/docs/wpdocs/2001/wp48en.
pdf e del Code of practice, "Protection of workers' personal
data", pubblicato dall'Organizzazione internazionale del lavoro
(ILO). 2 Cfr. Provv. 10 gennaio 2002, in http://www.garanteprivacy.it,
doc. web n. 1064553.
3 Cfr. Provv. 23 aprile 2002, doc. web n. 1065065.
In particolare, il Codice in materia di protezione dei dati personali
(Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive
che il trattamento di dati personali avvenga:
• nel rispetto di principi di necessità e liceità e che riguardano la
qualità dei dati (articoli 3 e 11);
• informando preventivamente e adeguatamente gli interessati
(art. 13);
• chiedendo preventivamente il consenso solo quando, anche a seconda
della natura dei dati, non sia corretto avvalersi di uno degli altri
presupposti equipollenti al consenso (articoli 23, 24, 26 e 43 del
Codice);
• rispettando, se si trattano dati sensibili o giudiziari, le
prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere
generale rilasciate (articoli 26 e 27 del Codice; cfr., in particolare,
l'autorizzazione generale n. 1/2005);
• adottando le misure di sicurezza idonee a preservare i dati da alcuni
eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali
può essere chiamato a rispondere anche civilmente e penalmente (articoli
15, 31 e ss., 167 e 169 del Codice).
2.2. Finalità.
Il trattamento di dati personali riferibili a singoli lavoratori, anche
sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal
contratto individuale (ad esempio, per verificare l'esatto adempimento
della prestazione o commisurare l'importo della retribuzione, anche per
lavoro straordinario, o dei premi da corrispondere, per quantificare le
ferie e i permessi, per appurare la sussistenza di una causa legittima di
assenza).
Alcuni scopi sono altresi' previsti dalla contrattazione collettiva per la
determinazione di circostanze relative al rapporto di lavoro individuale
(ad esempio, per la fruizione di permessi o aspettative sindacali e
periodi di comporto o rispetto alle percentuali di lavoratori da assumere
con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad
esempio, le comunicazioni ad enti previdenziali e assistenziali).
Se queste finalità sono in termini generali lecite, occorre però
rispettare il principio della compatibilità tra gli scopi perseguiti
(art. 11, comma 1, lettera b), del Codice): lo scopo perseguito in
concreto dal datore di lavoro sulla base del trattamento di dati personali
non deve essere infatti incompatibile con le finalità per le quali i
medesimi sono stati raccolti.
3. Titolare e responsabile del trattamento.
3.1. Titolare e responsabile. Ai fini della protezione dei dati personali
assume un ruolo rilevante identificare le figure soggettive che a diverso
titolo possono trattare i dati, definendo chiaramente le rispettive
attribuzioni, in particolare, quelle del titolare e del responsabile del
trattamento (articoli 4, comma 1, lettera f) e g), 28 e 29 del Codice).
In linea di principio, per individuare il titolare del trattamento rileva
l'effettivo centro di imputazione del rapporto di lavoro, al di là dello
schema societario formalmente adottato 4.
Peraltro, specie nelle realtà imprenditoriali più articolate, questa
identificazione può risultare non sempre agevole e tale circostanza
costituisce in qualche caso un ostacolo anche per l'esercizio dei diritti
di cui all'art. 7 5.
3.2. Gruppi di imprese.
Le società che appartengono a gruppi di imprese individuati in
conformità alla legge (art. 2359 cod. civ.;, decreto legislativo 2 aprile
2002, n. 74) hanno di regola una distinta ed autonoma titolarità del
trattamento in relazione ai dati personali dei propri dipendenti e
collaboratori (articoli 4, comma 1, lettera f) e 28 del Codice).
Tuttavia, nell'ambito dei gruppi, le società controllate e collegate
possono delegare la società capogruppo a svolgere adempimenti in materia
di lavoro, previdenza ed assistenza sociale per i lavoratori indicati
dalla legge 6: tale attività implica la designazione della società
capogruppo quale responsabile del trattamento ai sensi dell'art. 29 del
Codice 7.
Analoga soluzione (art. 31, comma 2, deceto legislativo n. 276/2003) deve
essere adottata per i trattamenti di dati personali, aventi identica
natura, effettuati nell'ambito dei consorzi di società cooperative (nei
quali a tal fine può essere altresì designata una delle società
consorziate).
4 Cfr., in merito, i principi affermati in giurisprudenza: Cass. 24 marzo
2003, n. 4274; v. altresi' Cass. 1° aprile 1999, n. 3136.
5 In merito v. di seguito il punto 9.
6 Cfr. art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1,
d.lg. 10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30.
7 Come già accade per i soggetti indicati al menzionato art. 1 della
legge n. 12/1979.
3.3. Medico competente.
Considerazioni ulteriori devono essere svolte in relazione a taluni
specifici trattamenti che possono o devono essere effettuati all'interno
dell'impresa in conformità alla disciplina in materia di sicurezza e
igiene del lavoro 8.
Tale disciplina, che attua anche alcune direttive comunitarie e si colloca
nell'ambito del più generale quadro di misure necessarie a tutelare
l'integrità psico-fisica dei lavoratori (art. 2087 cod. civ.), pone
direttamente in capo al medico competente in materia di igiene e sicurezza
dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi
degli articoli 16 e 17 del decreto legislativo n. 626/1994, il correlativo
trattamento dei dati contenuti in cartelle cliniche).
In quest'ambito, il medico competente effettua accertamenti preventivi e
periodici sui lavoratori (art. 33 del decreto del Presidente della
Repubblica n. 303/1956; art. 16, decreto legislativo n. 626/1994) e
istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio
(in conformità alle prescrizioni contenute negli articoli 17,
59-quinquiesdecies, comma 2, lettera b), 59-sexiesdecies e 70 decreto
legislativo n. 626/1994).
Detta cartella è custodita presso l'azienda o l'unità produttiva, «con
salvaguardia del segreto professionale, e [consegnata in] copia al
lavoratore stesso al momento della risoluzione del rapporto di lavoro,
ovvero quando lo stesso ne fa richiesta» (art. 4, comma 8, decreto
legislativo n. 626/1994); in caso di cessazione del rapporto di lavoro le
cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul
lavoro-Ispesl (art. 72-undecies, comma 3, decreto legislativo n.
626/1994), in originale e in busta chiusa 9.
In relazione a tali disposizioni, il medico competente è deputato a
trattare i dati sanitari dei lavoratori, procedendo alle dovute
annotazioni nelle cartelle sanitarie e di rischio, e curando le opportune
misure di sicurezza per salvaguardare la segretezza delle informazioni
trattate in rapporto alle finalità e modalità del trattamento stabilite.
Ciò, quale che sia il titolare del trattamento effettuato dal medico 10.
Alle predette cartelle il datore di lavoro non può accedere, dovendo
soltanto concorrere ad assicurarne un'efficace custodia nei locali
aziendali (anche in vista di possibili accertamenti ispettivi da parte dei
soggetti istituzionalmente competenti), ma, come detto, «con salvaguardia
del segreto professionale» 11.
Il datore di lavoro, sebbene sia tenuto, su parere del medico competente
(o qualora il medico lo informi di anomalie imputabili all'esposizione a
rischio), ad adottare le misure preventive e protettive per i lavoratori
interessati, non può conoscere le eventuali patologie accertate, ma solo
la valutazione finale circa l'idoneità del dipendente (dal punto di vista
sanitario) allo svolgimento di date mansioni.
In tal senso, peraltro, depongono anche le previsioni legislative che
dispongono la comunicazione all'Ispesl della cartella sanitaria e di
rischio in caso di cessione (art. 59-sexiesdecies, comma 4, decreto
legislativo n. 626/1994) o cessazione del rapporto di lavoro (art.
72-undecies, decreto legislativo n. 626/1994), precludendosi anche in tali
occasioni ogni loro conoscibilità da parte del datore di lavoro.
4. Dati biometrici e accesso ad «aree riservate».
4.1. Nozione.
In più circostanze, anche ricorrendo al procedimento previsto dall'art.
17 del Codice, è stato prospettato al Garante l'utilizzo di dati
biometrici sul luogo di lavoro 12, con particolare riferimento all'impiego
di tali informazioni per accedere ad aree specifiche dell'impresa.
Si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali
della persona a seguito di un apposito procedimento (in parte
automatizzato) e poi risultanti in un modello di riferimento. Quest'ultimo
consiste in un insieme di valori numerici ricavati, attraverso funzioni
matematiche, dalle caratteristiche individuali sopra indicate, preordinati
all'identificazione personale attraverso opportune operazioni di confronto
tra il codice numerico ricavato ad ogni accesso e quello originariamente
raccolto.
8 In particolare, d.lg. 19 settembre 1994, n. 626 e successive
modificazioni e integrazioni.
9 Cfr. circolare Ispesl 3 marzo 2003, n. 2260.
10 In tal senso, v. l'autorizzazione generale n. 1/2005, in rapporto al
diverso titolo in base al quale il medico opera quale libero
professionista, o quale dipendente del datore di lavoro o di aziende
sanitarie locali.
11 La cui violazione è peraltro penalmente sanzionata ai sensi dell'art.
92, lett. a), d.lg. n. 626/1994.
12 Cfr. Provv. 21 luglio 2005, doc. web n. 1150679.
L'uso generalizzato e incontrollato di dati biometrici, specie se ricavati
dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare
natura, richiedono l'adozione di elevate cautele per prevenire possibili
pregiudizi a danno degli interessati, con particolare riguardo a condotte
illecite che determinino l'abusiva «ricostruzione» dell'impronta,
partendo dal modello di riferimento, e la sua ulteriore «utilizzazione»
a loro insaputa.
L'utilizzo di dati biometrici può essere giustificato solo in casi
particolari, tenuto conto delle finalità e del contesto in cui essi sono
trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad
«aree sensibili», considerata la natura delle attività ivi svolte: si
pensi, ad esempio, a processi produttivi pericolosi 13 o sottoposti a
segreti di varia natura 14 o al fatto che particolari locali siano
destinati alla custodia di beni, documenti segreti o riservati o oggetti
di valore 15.
4.2. Sistemi di rilevazione biometrica.
Inoltre, nei casi in cui l'uso dei dati biometrici è consentito, la
centralizzazione in una banca dati delle informazioni personali (nella
forma del predetto modello) trattate nell'ambito del descritto
procedimento di riconoscimento biometrico risulta di regola sproporzionata
e non necessaria. I sistemi informativi devono essere infatti configurati
in modo da ridurre al minimo l'utilizzazione di dati personali e da
escluderne il trattamento, quando le finalità perseguite possono essere
realizzate con modalità tali da permettere di identificare l'interessato
solo in caso di necessità (articoli 3 e 11 del Codice).
In luogo, quindi, di modalità centralizzate di trattamento dei dati
biometrici, deve ritenersi adeguato e sufficiente avvalersi di sistemi
efficaci di verifica e di identificazione biometrica basati sulla lettura
delle impronte digitali memorizzate, tramite il predetto modello cifrato,
su un supporto posto nell'esclusiva disponibilità dell'interessato (una
smart card o un dispositivo analogo) e privo di indicazioni nominative
riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun
dipendente un codice individuale).
Tale modalità di riconoscimento, infatti, è idonea ad assicurare che
possano accedere all'area riservata solo coloro che, autorizzati
preventivamente, decidano su base volontaria di avvalersi della predetta
carta o del dispositivo analogo. Il confronto delle impronte digitali con
il modello memorizzato sulla carta o sul dispositivo può essere
realizzato ricorrendo a comuni procedure di confronto sulla carta o
dispositivo stesso, evitando cosi' la costituzione di un archivio di
delicati dati biometrici. Del resto, in caso di smarrimento della carta o
dispositivo, sono allo stato circoscritte le possibilità di abuso
rispetto ai dati biometrici ivi memorizzati.
4.3. Misure di sicurezza e tempi di conservazione.
I dati personali necessari per realizzare il modello possono essere
trattati esclusivamente durante la fase di registrazione; per il loro
utilizzo, il titolare del trattamento deve raccogliere il preventivo
consenso informato degli interessati.
In aggiunta alle misure di sicurezza minime prescritte dal Codice, devono
essere adottati ulteriori accorgimenti a protezione dei dati, impartendo
agli incaricati apposite istruzioni scritte alle quali attenersi, con
particolare riguardo al caso di perdita o sottrazione delle carte o
dispositivi loro affidati.
I dati memorizzati devono essere accessibili al personale preposto al
rispetto delle misure di sicurezza all'interno dell'impresa, per
l'esclusiva finalità della verifica della loro osservanza (rispettando
peraltro la disciplina sul controllo a distanza dei lavoratori: art. 4,
comma 2, legge 20 maggio 1970, n. 300, richiamato dall'art. 114 del
Codice).
I dati raccolti non possono essere di regola conservati per un arco di
tempo superiore a sette giorni e vanno assicurati, anche quando tale arco
temporale possa essere lecitamente protratto, idonei meccanismi di
cancellazione automatica dei dati.
4.4. Verifica preliminare.
Resta salva, per fattispecie particolari o in ragione di situazioni
eccezionali non considerate in questa sede, la presentazione da parte di
titolari del trattamento che intendano discostarsi dalle presenti
prescrizioni, di apposito interpello al Garante, ai sensi dell'art. 17 del
Codice.
5. Comunicazione e diffusione di dati personali.
5.1. Comunicazione.
La conoscenza dei dati personali relativi ad un lavoratore da parte di
terzi è ammessa se l'interessato vi acconsente.
Se il datore di lavoro non può avvalersi correttamente di uno degli altri
presupposti del trattamento equipollenti al consenso (art. 24 del Codice),
non può prescindersi dal consenso stesso per
13 Cfr. Provv. 15 giugno 2006, docc. web nn. 1306523, 1306530 e 1306551.
14 Cfr. Provv. 23 novembre 2005, doc. web n. 1202254.
15 Cfr. Provv. 15 giugno 2006, doc. web n. 1306098; v., inoltre, Provv. 26
luglio 2006, doc. web n. 1318582.
comunicare dati personali (ad esempio, inerenti alla circostanza di
un'avvenuta assunzione, allo status o alla qualifica ricoperta,
all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore)
a terzi quali:
• associazioni (anche di categoria) di datori di lavoro, o di ex
dipendenti (anche della medesima istituzione);
• conoscenti, familiari e parenti.
Fermo restando il rispetto dei principi generali sopra richiamati in
materia di trattamento di dati personali (cfr. punto 2), rimane
impregiudicata la facoltà del datore di lavoro di disciplinare le
modalità del proprio trattamento designando i soggetti, interni o
esterni, incaricati o responsabili del trattamento, che possono acquisire
conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in
relazione alle funzioni svolte e a idonee istruzioni scritte alle quali
attenersi (articoli 4, comma 1, lettere g) e h), 29 e 30). Ciò, ove
necessario, anche mediante consegna di copia di documenti all'uopo
predisposti.
È altresi' impregiudicata la facoltà del datore di lavoro di comunicare
a terzi in forma realmente anonima dati ricavati dalle informazioni
relative a singoli o gruppi di lavoratori: si pensi al numero complessivo
di ore di lavoro straordinario prestate o di ore non lavorate a livello
aziendale o all'interno di singole unità produttive, agli importi di
premi aziendali di risultato individuati per fasce, o qualifiche/livelli
professionali, anche nell'ambito di singole funzioni o unità
organizzative).
5.2. Intranet aziendale.
Allo stesso modo, il consenso del lavoratore è necessario per pubblicare
informazioni personali allo stesso riferite (quali fotografia,
informazioni anagrafiche o curricula) nella intranet aziendale (e a
maggior ragione in Internet), non risultando tale ampia circolazione di
dati personali di regola «necessaria per eseguire obblighi derivanti dal
contratto di lavoro» (art. 24, comma 1, lettera b), del Codice). Tali
obblighi possono trovare esecuzione indipendentemente da tale particolare
forma di divulgazione che comunque, potendo a volte risultare pertinente
(specie in realtà produttive di grandi dimensioni o ramificate sul
territorio), richiede il preventivo consenso del singolo dipendente, salva
specifica disposizione di legge.
5.3. Diffusione.
In assenza di specifiche disposizioni normative che impongano al datore di
lavoro la diffusione di dati personali riferiti ai lavoratori (art. 24,
comma 1, lettera a) o la autorizzino, o comunque di altro presupposto ai
sensi dell'art. 24 del Codice, la diffusione stessa può avvenire solo se
necessaria per dare esecuzione a obblighi derivanti dal contratto di
lavoro (art. 24, comma 1, lettera b) del Codice). È il caso, ad esempio,
dell'affissione nella bacheca aziendale di ordini di servizio, di turni
lavorativi o feriali, oltre che di disposizioni riguardanti
l'organizzazione del lavoro e l'individuazione delle mansioni cui sono
deputati i singoli dipendenti 16.
Salvo che ricorra una di queste ipotesi, non è invece di regola lecito
dare diffusione a informazioni personali riferite a singoli lavoratori,
anche attraverso la loro pubblicazione in bacheche aziendali o in
comunicazioni interne destinate alla collettività dei lavoratori, specie
se non correlate all'esecuzione di obblighi lavorativi. In tali casi la
diffusione si pone anche in violazione dei principi di finalità e
pertinenza (art. 11 del Codice), come nelle ipotesi di:
• affissione relativa ad emolumenti percepiti o che fanno riferimento a
particolari condizioni personali 17;
• sanzioni disciplinari irrogate o informazioni relative a controversie
giudiziarie;
• assenze dal lavoro per malattia;
• iscrizione e/o adesione dei singoli lavoratori ad associazioni.
5.4. Cartellini identificativi.
Analogamente, si possono determinare altre forme di diffusione di
dati personali quando dette informazioni debbano essere riportate ed
esibite su cartellini identificativi appuntati ad esempio sull'abito o
sulla divisa del lavoratore (di solito, con lo scopo di migliorare il
rapporto fra operatori ed utenti o clienti).
Al riguardo, questa Autorità ha già rilevato 18, in relazione allo
svolgimento del rapporto di lavoro alle dipendenze di soggetti privati,
che l'obbligo di portare in modo visibile un cartellino identificativo
può trovare fondamento in alcune prescrizioni contenute in accordi
sindacali aziendali, il cui rispetto può essere ricondotto alle
prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto
con il pubblico, si è ravvisata la sproporzione dell'indicazione sul
cartellino di dati personali
identificativi (generalità o dati anagrafici), ben
16 Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11
febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n. 1752.
17 Cfr., in relazione alla diffusione di informazioni in grado di rivelare
situazioni di handicap, Provv. 27 febbraio 2002, in Boll. n. 25/2002, p.
51, doc. web n. 1063639.
18 Cfr. Provv. 11 dicembre 2000, doc. web n. 30991.
potendo spesso risultare sufficienti altre informazioni (quali codici
identificativi, il solo nome o il ruolo professionale svolto), per sè
sole in grado di essere d'ausilio all'utenza.
5.5. Modalità di comunicazione.
Salvi i casi in cui forme e modalità di divulgazione di dati personali
discendano da specifiche previsioni (cfr. art. 174, comma 12, del Codice)
19, il datore di lavoro deve utilizzare forme di comunicazione
individualizzata con il lavoratore, adottando le misure più opportune per
prevenire un'indebita comunicazione di dati personali, in particolare se
sensibili, a soggetti diversi dal destinatario, ancorchè incaricati di
talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni
in plico chiuso o spillato; invitando l'interessato a ritirare
personalmente la documentazione presso l'ufficio competente; ricorrendo a
comunicazioni telematiche individuali).
Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere
adottate in relazione ad altre forme di comunicazione indirizzate al
lavoratore dalle quali possano desumersi vicende personali
20. &ad1;6. Dati idonei a rivelare lo stato di salute di lavoratori.
6.1. Dati sanitari.
Devono essere osservate cautele particolari anche nel trattamento dei dati
sensibili del lavoratore (art. 4, comma 1, lettera d), del Codice) e,
segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra
questi ultimi, può rientrare l'informazione relativa all'assenza dal
servizio per malattia, indipendentemente dalla circostanza della
contestuale enunciazione della diagnosi 21.
Per tali informazioni, l'ordinamento appresta anche fuori della disciplina
di protezione dei dati personali particolari accorgimenti per contenere,
nei limiti dell'indispensabile, i dati dei quali il datore di lavoro può
venire a conoscenza per dare esecuzione al contratto (cfr. già l'art. 8
della legge n. 300/1970).
In questo contesto, la disciplina generale contenuta nel Codice deve
essere coordinata ed integrata, come si è visto (cfr. punto 3.3.), con
altre regole settoriali 22 o speciali 23.
Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5,
del Codice).
6.2. Assenze per ragioni di salute. Con specifico riguardo al trattamento
di dati idonei a rivelare lo stato di salute dei lavoratori, la normativa
di settore e le disposizioni contenute nei contratti collettivi
giustificano il trattamento dei dati relativi ai casi di infermità (e
talora a quelli inerenti all'esecuzione di visite specialistiche o di
accertamenti clinici) che determini un'incapacità lavorativa (temporanea
o definitiva, con la conseguente sospensione o risoluzione del contratto).
Non diversamente, il datore di lavoro può trattare dati relativi a
invalidità o all'appartenenza a categorie protette, nei modi e per le
finalità prescritte dalla vigente normativa in materia.
A tale riguardo, infatti, sussiste un quadro normativo articolato che
prevede anche obblighi di comunicazione in capo al lavoratore e di
successiva certificazione nei confronti del datore di lavoro e dell'ente
previdenziale della condizione di malattia: obblighi funzionali non solo a
giustificare i trattamenti normativi ed economici spettanti al lavoratore,
ma anche a consentire al datore di lavoro, nelle forme di legge 24, di
verificare le reali condizioni di salute del lavoratore.
Per attuare tali obblighi viene utilizzata un'apposita modulistica,
consistente in un attestato di malattia da consegnare al datore di lavoro
con la sola indicazione dell'inizio e della durata presunta
dell'infermità: c.d. «prognosi» e in un certificato di diagnosi da
consegnare, a cura del lavoratore stesso, all'Istituto nazionale della
previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso
Istituto d'intesa con la regione, se il lavoratore ha diritto a ricevere
l'indennità di malattia a carico dell'ente previdenziale 25.
19 Cfr. Provv. 12 maggio 2005, doc. web n. 1137798.
20 Cfr., con riguardo alle dizioni riportate sui "cedolini"
dello stipendio, o su documenti aventi la medesima funzione, Provv. 31
dicembre 1998, in Boll. n. 6, p. 100; v. anche Provv. 19 febbraio 2002,
doc. web n. 1063659.
21 Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il punto 50
della sentenza della Corte di giustizia delle Comunità europee, 6
novembre 2003, C-101/01, Lindqvist.
22 Tra le quali, ad esempio, la richiamata regolamentazione contenuta nel
decreto legislativo n. 626/1994 o nell'art. 5 della legge n. 300/1970
sugli accertamenti sanitari facoltativi.
23 Si pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della
legge 5 giugno 1990, n. 135, in materia Aids; art. 124 D.P.R. 9 ottobre
1990, n. 309.
24 Cfr. Provv. 15 aprile 2004, doc. web n. 1092564.
25 Cfr. art. 2, d.l. 30 dicembre 1979, n. 663, conv. in legge, con mod.,
con l'art. 1, legge 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art.
1, legge 30 dicembre 2004, n. 311.
Tuttavia, qualora dovessero essere presentati dai lavoratori certificati
medici redatti su modulistica diversa da quella sopra descritta, nella
quale i dati di prognosi e di diagnosi non siano separati, i datori di
lavoro restano obbligati, ove possibile, ad adottare idonee misure e
accorgimenti volti a prevenirne la ricezione o, in ogni caso, ad oscurali
26.
6.3. Denuncia all'Inail.
Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a
dati sanitari, in taluni casi il datore di lavoro può anche venire a
conoscenza delle condizioni di salute del lavoratore. Tra le fattispecie
più ricorrenti deve essere annoverata la denuncia all'Istituto
assicuratore (Inail) avente ad oggetto infortuni e malattie professionali
occorsi ai lavoratori; essa, infatti, per espressa previsione normativa,
deve essere corredata da specifica certificazione medica (articoli 13 e 53
decreto del Presidente della Repubblica n. 1124/1965).
In tali casi, pur essendo legittima la conoscenza della diagnosi da parte
del datore di lavoro, resta fermo a suo carico l'obbligo di limitarsi a
comunicare all'ente assistenziale esclusivamente le informazioni sanitarie
relative o collegate alla patologia denunciata e non anche dati sulla
salute relativi ad altre assenze che si siano verificate nel corso del
rapporto di lavoro, la cui eventuale comunicazione sarebbe eccedente e non
pertinente con la conseguente loro inutilizzabilità, trattandosi di dati
non rilevanti nel caso oggetto di denuncia (art. 11, commi 1 e 2 del
Codice) 27.
6.4. Altre informazioni relative alla salute.
A tali fattispecie devono essere aggiunti altri casi nei quali può,
parimenti, effettuarsi un trattamento di dati relativi alla salute del
lavoratore (e finanche di suoi congiunti), anche al fine di permettergli
di godere dei benefici di legge (quali, ad esempio, permessi o periodi
prolungati di aspettativa con conservazione del posto di lavoro): si
pensi, ad esempio, a informazioni relative a condizioni di handicap 28.
Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato
di tossicodipendenza del dipendente, ove questi richieda di accedere a
programmi riabilitativi o terapeutici con conservazione del posto di
lavoro (senza retribuzione), atteso l'onere di presentare (nei termini
prescritti dai contratti collettivi) specifica documentazione medica al
datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, decreto del
Presidente della Repubblica n. 309/1990).
6.5. Comunicazioni all'Inps.
È altresì legittima la comunicazione di dati idonei a rivelare lo stato
di salute dei lavoratori che il datore di lavoro faccia ai soggetti
pubblici (enti previdenziali e assistenziali) tenuti a erogare le
prescritte indennità in adempimento a specifici obblighi derivanti dalla
legge, da altre norme o regolamenti o da previsioni contrattuali, nei
limiti delle sole informazioni indispensabili.
In particolare, il datore di lavoro può comunicare all'Istituto nazionale
della previdenza sociale (Inps) i dati del dipendente assente, anche per
un solo giorno, al fine di farne controllare lo stato di malattia (art. 5,
commi 1 e 2, legge 20 maggio 1970, n. 300) 29; a tal fine deve tenere a
disposizione e produrre, a richiesta, all'Inps, la documentazione in suo
possesso. Le eventuali visite di controllo sullo stato di infermità del
lavoratore, ai sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su
richiesta dell'Inps o della struttura sanitaria pubblica da esso indicata,
sono effettuate dai medici dei servizi sanitari indicati dalle regioni
(art. 2, l. n. 33/1980 cit.).
7. Informativa.
Il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere
al trattamento dei dati personali che lo riguardano (anche in relazione
alle ipotesi nelle quali la legge non richieda il suo consenso),
un'informativa individualizzata completa degli elementi indicati dall'art.
13 del Codice 30.
Con particolare riferimento a realtà produttive nelle quali, per ragioni
organizzative (ad esempio, per l'articolata dislocazione sul territorio o
per il ricorso consistente a forme di out-sourcing) o dimensionali, può
risultare difficoltoso per il singolo lavoratore esercitare i propri
diritti ai sensi dell'art. 7 del Codice, è opportuna la
designazione di un responsabile del trattamento appositamente deputato
alla trattazione di tali profili (o di responsabili esterni alla società,
che effettuino, ad esempio, l'attività di gestione degli archivi
amministrativi dei dipendenti), indicandolo chiaramente nell'informativa
fornita.
26 Cfr. di seguito al punto 8.
27 In tal senso v. il Provv. 15 aprile 2004, doc. web n. 1092564.
28 Cfr. art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le
pertinenti disposizioni contenute nel d.lg. 26 marzo 2001, n. 151.
29 V. Provv. 28 settembre 2001, cit.
30 V. anche il Parere 8/2001, cit., secondo il quale "i lavoratori
devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro
conto (direttamente o da altre fonti), quali siano gli scopi delle
operazioni di trattamento previste o effettuate per tali dati sia per il
presente che per il futuro".
8. Misure di sicurezza.
8.1. Dati sanitari. Il datore di lavoro titolare del trattamento è tenuto
ad adottare ogni misura di sicurezza, anche minima, prescritta dal Codice
a protezione dei dati personali dei dipendenti comunque trattati
nell'ambito del rapporto di lavoro, ponendo particolare attenzione
all'eventuale natura sensibile dei medesimi (art. 31 e ss. e Allegato B)
al Codice).
Dette informazioni devono essere conservate separatamente da ogni altro
dato personale dell'interessato; ciò, deve trovare attuazione anche con
riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio,
utilizzando sezioni appositamente dedicate alla custodia dei dati
sensibili, inclusi quelli idonei a rivelare lo stato di salute del
lavoratore, da conservare separatamente o in modo da non consentirne una
indistinta consultazione nel corso delle ordinarie attività
amministrative 31).
Del pari, nei casi in cui i lavoratori producano spontaneamente
certificati medici su modulistica diversa da quella descritta al punto
6.2., il datore di lavoro non può, comunque, utilizzare ulteriormente
tali informazioni (art. 11, comma 2, del Codice) e deve adottare gli
opportuni accorgimenti per non rendere visibili le diagnosi contenute nei
certificati (ad esempio, prescrivendone la circolazione in busta chiusa
previo oscuramento di tali informazioni); ciò, al fine di impedire ogni
accesso abusivo a tali dati da parte di soggetti non previamente designati
come incaricati o responsabili (art. 31 e ss. del Codice).
8.2. Incaricati. Resta fermo l'obbligo del datore di lavoro di preporre
alla custodia dei dati personali dei lavoratori apposito personale,
specificamente incaricato del trattamento, che «deve avere cognizioni in
materia di protezione dei dati personali e ricevere una formazione
adeguata. In assenza di un'adeguata formazione degli addetti al
trattamento dei dati personali il rispetto della riservatezza dei
lavoratori sul luogo di lavoro non potrà mai essere garantito» 32.
8.3. Misure fisiche ed organizzative. Il datore di lavoro deve adottare,
tra l'altro (cfr. articoli 31 ss. del Codice), misure organizzative e
fisiche idonee a garantire che:
• i luoghi ove si svolge il trattamento di dati personali dei lavoratori
siano opportunamente protetti da indebite intrusioni;
• le comunicazioni personali riferibili esclusivamente a singoli
lavoratori avvengano con modalità tali da escluderne l'indebita presa di
conoscenza da parte di terzi o di soggetti non designati quali incaricati;
• siano impartite chiare istruzioni agli incaricati in ordine alla
scrupolosa osservanza del segreto d'ufficio, anche con riguardo a
dipendenti del medesimo datore di lavoro che non abbiano titolo per venire
a conoscenza di particolari informazioni personali;
• sia prevenuta l'acquisizione e riproduzione di dati personali trattati
elettronicamente, in assenza di adeguati sistemi di autenticazione o
autorizzazione e/o di documenti contenenti informazioni personali da parte
di soggetti non autorizzati 33;
• sia prevenuta l'involontaria acquisizione di informazioni personali da
parte di terzi o di altri dipendenti: opportuni accorgimenti, ad esempio,
devono essere presi in presenza di una particolare conformazione o
dislocazione degli uffici, in assenza di misure idonee volte a prevenire
la diffusione delle informazioni (si pensi al mancato rispetto di distanze
di sicurezza o alla trattazione di informazioni riservate in spazi aperti,
anzichè all'interno di locali chiusi).
9. Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del
datore di lavoro.
9.1. Diritto di accesso. I lavoratori interessati possono esercitare nei
confronti del datore di lavoro i diritti previsti dall'art. 7 del Codice
(nei modi di cui agli articoli 8 e ss.), tra cui il diritto di accedere ai
dati che li riguardano (anzichè, in quanto tale, all'intera
documentazione che li contiene 34), di ottenerne l'aggiornamento, la
rettificazione, l'integrazione, la cancellazione, la trasformazione in
forma anonima o il blocco se trattati in violazione di legge, di opporsi
al trattamento per motivi legittimi.
31 Cfr. Provv. 30 ottobre 2001, doc. web n. 39085.
32 Parere 8/2001, cit.
33 Cfr. Provv. 27 luglio 2004, doc. web n. 1099386.
34 Cfr. Provv. 16 giugno 2005, doc. web n. 1149957.
La richiesta di accesso che non faccia riferimento ad un
particolare trattamento o a specifici dati o categorie di dati, deve
ritenersi riferita a tutti i dati personali che riguardano il lavoratore
comunque trattati dall'amministrazione (art. 10) e può riguardare anche
informazioni di tipo valutativo 35, alle condizioni e nei limiti di cui
all'art. 8, comma 5.
Tra essi non rientrano notizie di carattere contrattuale o professionale
che non hanno natura di dati personali in qualche modo riferibili a
persone identificate o identificabili 36.
9.2. Riscontro del datore di lavoro. Il datore di lavoro destinatario
della richiesta è tenuto a fornire un riscontro completo alla richiesta
del lavoratore interessato, senza limitarsi alla sola elencazione delle
tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile
tutte le informazioni in suo possesso 37.
9.3. Tempestività del riscontro. Il riscontro deve essere fornito nel
termine di 15 giorni dal ricevimento dell'istanza dell'interessato (ritualmente
presentata 38); il termine più lungo, pari a trenta giorni, può essere
osservato, dandone comunicazione all'interessato, solo se le operazioni
necessarie per un integrale riscontro sono di particolare complessità o
se ricorre altro giustificato motivo (art. 146 del Codice).
Pertanto il datore di lavoro, specie nelle realtà produttive di grande
dimensione 39, deve pertanto predisporre procedure organizzative adeguate
per dare piena attuazione alle disposizioni del Codice in materia di
accesso ai dati e all'esercizio degli altri diritti, anche attraverso
l'impiego di appositi programmi finalizzati ad una accurata selezione dei
dati relativi a singoli lavoratori, nonchè alla semplificazione delle
modalità e alla compressione dei tempi per il riscontro.
9.4. Modalità del riscontro. Il riscontro può essere fornito anche
oralmente; tuttavia, in presenza di una specifica istanza, il datore di
lavoro è tenuto a trasporre i dati su supporto cartaceo o informatico o a
trasmetterli all'interessato per via telematica (art. 10).
Muovendo dalla previsione dell'art. 10, comma 1, del Codice, secondo cui
il titolare deve predisporre accorgimenti idonei «a semplificare le
modalità e a ridurre i tempi per il riscontro al richiedente», può
risultare legittima la richiesta dell'interessato di ricevere la
comunicazione dei dati in questione presso la propria sede lavorativa o la
propria abitazione 40.
9.5. Dati personali e documentazione.
Come più volte dichiarato dal Garante 41, l'esercizio del diritto di
accesso consente di ottenere, ai sensi dell'art. 10 del Codice, solo la
comunicazione dei dati personali relativi al richiedente detenuti dal
titolare del trattamento e da estrarre da atti e documenti; non permette
invece di richiedere a quest'ultimo il diretto e illimitato accesso a
documenti e ad intere tipologie di atti, o la creazione di documenti allo
stato inesistenti negli archivi, o la loro innovativa aggregazione secondo
specifiche modalità prospettate dall'interessato o, ancora, di ottenere,
sempre e necessariamente, copia dei documenti detenuti, ovvero di
pretendere particolari modalità di riscontro (salvo quanto previsto per
la trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del
Codice).
Specie nei casi in cui è elevata la mole di informazioni personali
detenute dal titolare del trattamento, il diritto di accesso ai dati può
essere soddisfatto mettendo a disposizione dell'interessato il fascicolo
personale 42, dal quale successivamente possono essere estratte le
informazioni personali.
35 V. già Provv. 10 marzo 2001, doc. web n. 40285; cfr. Provv. 15
novembre 2004, doc. web n. 1102939. Raccomandazione n. 1/2001 concernente
i dati relativi alla valutazione del personale del Gruppo art. 29, Wp 42.
36 In tal senso, con riguardo ad esempio alle mansioni proprie di un
determinato profilo professionale cfr. Provv. 29 ottobre 2003, doc. web n.
1053781.
37 In tal senso cfr., in relazione ad informazioni personali conservate
con tecniche di cifratura, Provv. 21 novembre 2001, doc. web n. 39773.
38 Cfr. Provv. 17 febbraio 2005, doc. web n. 1148228, con il quale si è
dichiarato inammissibile un ricorso presentato a seguito di istanza
avanzata dalle "segreterie nazionali" di alcune organizzazioni
sindacali priva di sottoscrizione.
39 Cfr. ad esempio Provv. 2 luglio 2003, doc. web n. 1079989;
Provv. 24 giugno 2003, doc. web n. 1132725.
40 Cfr. Provv. 17 marzo 2005, doc. web n. 1170467.
41 Cfr. da ultimo Provv. 7 luglio 2005, doc. web n. 1149559;
42 Provv. 16 giugno 2005, doc. web n. 1149999.
La scelta circa l'eventuale esibizione o consegna in copia di atti e
documenti contenenti i dati personali richiesti può essere effettuata dal
titolare del trattamento nel solo caso in cui l'estrapolazione dei dati
personali da tali documenti risulti particolarmente difficoltosa per il
titolare medesimo 43; devono essere poi omessi eventuali dati personali
riferiti a terzi (art. 10, comma 4, del Codice) 44. L'adozione di tale
modalità di riscontro non comporta l'obbligo in capo al titolare di
fornire copia di tutti i documenti che contengano i medesimi dati
personali dell'interessato, quando gli stessi dati siano conservati in
più atti, lettere o note.
Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli
articoli 7 e 8 del Codice, il titolare del trattamento deve, poi,
comunicare i dati richiesti ed effettivamente detenuti, e non è tenuto a
ricercare o raccogliere altri dati che non siano nella propria
disponibilità e non siano oggetto, in alcuna forma, di attuale
trattamento da parte dello stesso (o perchè originariamente trattati e
non più disponibili, ovvero perchè, come nel caso di dati contenuti
nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un
determinato datore di lavoro, non siano mai stati nell'effettiva e libera
disponibilità di quest'ultimo (si pensi al caso di dati contenuti nella
corrispondenza intercorsa tra dipendenti 45) - al di là dei profili di
tutela della segretezza della corrispondenza che pur vengono in rilievo -
non competerebbero le decisioni in ordine alle loro finalità e modalità
di trattamento (cfr. art. 4, comma 1, lettera f), del Codice).
9.6. Aggiornamento.
Infine, il lavoratore può ottenere l'aggiornamento dei dati personali a
sè riferiti 46.
In ordine, poi, all'eventuale richiesta di rettifica dei dati personali
indicati nel profilo professionale del lavoratore, la medesima può
avvenire solo in presenza della prova dell'effettiva e legittima
attribuibilità delle qualifiche rivendicate dall'interessato, ad esempio
in base a «decisioni o documenti del datore di lavoro o di terzi,
obblighi derivanti dal contratto di lavoro, provvedimenti di organi
giurisdizionali relativi all'interessato o altri titoli o atti che
permettano di ritenere provata, agli effetti e sul piano dell'applicazione
della [disciplina di protezione dei dati personali], la richiesta
dell'interessato» (che può comunque far valere in altra sede, sulla base
di idoneo materiale probatorio, la propria pretesa al riconoscimento della
qualifica o mansione rivendicata) 47.
43 Provv. 16 ottobre 2002, doc. web n. 1066447. Cfr. Provv. 25 novembre
2002, doc. web n. 1067321.
44 Cfr. Provv. 20 aprile 2005, doc. web n. 1134190; già Provv. 27
dicembre 2001, in Boll., 2001, n. 23, p. 72.
45 Cfr. Provv. 21 dicembre 2005, doc. web n. 1219039.
46 Cfr., in relazione all'aggiornamento del dato relativo al titolo di
studio, Provv. 6 settembre 2002, doc. web n. 1066183.
47 Cfr., in relazione all'aggiornamento delle informazioni relative al
titolo di studio, Provv. 9 gennaio 2003, doc. web n. 1067817.
http://www.NelParmense.it/cobas-er