Chiudi menu
Cerca Mostra/Nascondi menu

Il Regolamento n. 2016/679/UE, all’art. 88, stabilisce che gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro, in particolare per finalità di assunzione, esecuzione del contratto di lavoro, compreso l’adempimento degli obblighi stabiliti dalla legge o da contratti collettivi, di gestione, pianificazione e organizzazione del lavoro, parità e diversità sul posto di lavoro, salute e sicurezza sul lavoro, protezione della proprietà del datore di lavoro o del cliente e ai fini dell’esercizio e del godimento, individuale o collettivo, dei diritti e dei vantaggi connessi al lavoro, nonché per finalità di cessazione del rapporto di lavoro.

La normativa nazionale, invece, fa riferimento alle norme specifiche riguardanti il rapporto di lavoro le quali richiamano i principi di tutela previsti dagli artt. 1, 4 e 8 dello Statuto dei lavoratori (L. n. 300/1970) riguardanti la libertà di opinione, gli impianti audiovisivi, il divieto di indagini sulle opinioni. Successivamente il Decreto di adeguamento alla normativa nazionale prevede espressamente che il Gruppo “Articolo 29” (WP29), documento che definisce un quadro dei principi fondamentali per il corretto trattamento dei dati in ambito professionale ,ha individuato quale principio fondamentale quello per cui ogni lavoratore, indipendentemente dal tipo di contratto a lui applicato, ha diritto al rispetto della vita privata, della sua libertà e dignità e deve essere adeguatamente informato sulle modalità di trattamento dei dati personali in maniera chiara, semplice ed esaustiva, soprattutto qualora siano previste forme di controllo del lavoratore, che comunque dovranno essere rispettose anche delle norme nazionali.  Ad integrazione del Decreto di Adeguamento Gruppo “Articolo 29” (WP 29) vi è un Parere nel quale  si ricorda ai datori di lavoro di adottare sempre, nel rispetto del principio di “accountability” che caratterizza il GDPR, misure preventive volte alla protezione della riservatezza dei lavoratori redigendo, se del caso, anche una valutazione di impatto del trattamento che abbia ad oggetto il bilanciamento tra il proprio legittimo interesse e l’impatto delle nuove tecnologie informatiche utilizzate sui diritti e le libertà fondamentali degli interessati. Tali norme includono misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro.

Oltre alle norme succitate è importante la Privacy che nei rapporti di lavoro è un controllo positivo sui dati da parte del soggetto interessato (il lavoratore) operato grazie alla normativa in materia contenuta nel Codice della Privacy. Infatti il 23 novembre 2006 il Garante della Privacy ha adottato un primo provvedimento generale relativo al trattamento dei dati personali nell’ambito del rapporto di lavoro privato.
Con tali Linee guida si mira a fornire indicazioni e raccomandazioni relative alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati.

Le tematiche del provvedimento riguardano:
il comportamento del datore di lavoro che deve trattare i dipendenti nel rispetto dei principi di liceità, trasparenza, pertinenza e finalità;
la diffusione dei dati: è consentita solo per dare esecuzione agli obblighi derivanti dal contratto di lavoro od obblighi di legge (l’indicazione sul cartellino di dati identificativi nei rapporti con il pubblico, per esempio, è risultata sproporzionata);
l’informativa che il datore di lavoro deve rendere;
l’identificazione delle figure soggettive che possono trattare i dati. (nel caso di gruppi di imprese, la delega ad una società del gruppo allo svolgimento di adempimenti in materia di lavoro, previdenza ed assistenza sociale implica la designazione di tale società come responsabile del trattamento);
i dati idonei a rivelare lo stato di salute e l’accesso alle cartelle sanitarie e di rischio che è vietato al datore di lavoro.

Le operazioni si riferiscono a:

  • dati anagrafici dei lavoratori,
  • dati biometrici (il cui uso generalizzato e incontrollato è illecito),
  • fotografie e dati sensibili riferiti anche a terzi;
  • dati idonei a rivelare lo stato di salute, il credo religioso o il diritto di accesso;
  • informazioni connesse al rapporto di lavoro (tipologia di contratto, qualifica, retribuzione).

Questi dati sono contenuti in atti o documenti che il lavoratore ha fornito al momento dell’assunzione, resi disponibili in albi, bacheche o assunti dal datore di lavoro.

Nelle linee guida, oltre alla tutela dei dati anagrafici, stato di salute e rapporto di lavoro, è prevista anche la tutela dei dati elettronici.

1. Posta elettronica e rapporto di lavoro

Con riferimento alla posta elettronica è consigliabile adottare un disciplinare interno spiegando le modalità di utilizzo.
Il datore di lavoro può:

  • mettere a disposizione indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali;
  • attribuire eventualmente al lavoratore un indirizzo diverso destinato ad un uso privato;
  • mettere a disposizione di ciascun lavoratore, con modalità di agevole soluzione, appositi sistemi che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di altro soggetto;
  • consentire che, qualora si debba conoscere il contenuto di messaggi di posta elettronica, in caso di assenza improvvisa o prolungata, l’interessato possa delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa;
  • inserire nei messaggi un avvertimento ai destinatari nel quale sia dichiarata l’eventuale natura non personale del messaggio, specificando se le risposte potranno essere conosciute dal datore di lavoro stesso;
  • effettuare controlli graduati.

2. Conservazione e trattamento dati internet

I sistemi software devono essere programmati e configurati in modo tale che vengano cancellati autonomamente e periodicamente i dati personali relativi agli accessi ad Internet ed al traffico telematico.
In assenza di particolari esigenze tecniche o di sicurezza, la conservazione dei dati relativi all’uso degli strumenti elettronici deve essere giustificata da una finalità specifica e limitata nel tempo necessario a raggiungerla.
Se i tempi di conservazione si allungano, ciò può essere giustificato solo da:

  • esigenze tecniche e di sicurezza particolari ;
  • i ndispensabilità del dato per difendere un diritto in sede giudiziaria;
  • obbligo di custodire i dati in esecuzione di un obbligo dell’autorità giudiziaria o della polizia giudiziaria.

Come avviene il trattamento dei dati personali?

Il rispetto dei principi di protezione dei dati personali sono: Liceità, pertinenza, trasparenza. 

Le informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi. In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine come già detto in precedenza anche da direttive comunitarie. Dunque il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi derivanti dal contratto individuale (ad esempio, per verificare l’esatto adempimento della prestazione o commisurare l’importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza di una causa legittima di assenza). Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali). Se queste finalità sono in termini generali lecite, occorre però sempre rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11, comma 1, lett. b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.

Chi è il titolare e responsabile del trattamento?

Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile del trattamento (artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice).
In una azienda è titolare del trattamento colui che stabilisce le finalità e le modalità del trattamento dei dati personali; il responsabile, al contrario, è colui che tratta i dati personali solo per conto  del titolare del trattamento, di solito un terzo esterno all’azienda.Di fondamentale importanza sono anche i dati sanitari (dati sensibili), per i quali devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lett. d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l’informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi.
Per tali informazioni, l’ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per contenere, nei limiti dell’indispensabile, i dati dei quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto (cfr. già l´art. 8 della legge n. 300/1970).In questo contesto, la disciplina generale contenuta nel Codice deve essere coordinata ed integrata con altre regole settoriali   o speciali.
Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5, del Codice).
Nel  caso di denuncia all’ Inail per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro può anche venire a conoscenza delle condizioni di salute del lavoratore. In conclusione possiamo dire che, il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un’informativa individualizzata completa degli elementi indicati dall´art. 13 del Codice. Anche per quanto riguarda i dati relativi alla navigazione internet e alla posta elettronica, i datori di lavoro privati possono trattare i dati personali diversi da quelli sensibili se ne ricorrono i presupposti con il consenso del lavoratore ovvero senza il consenso ma sulla base di un accordo con le rappresentanze sindacali o, in difetto, l’autorizzazione di un organo dell’amministrazione del lavoro.
È necessario, in ogni caso , istituire e designare sempre i soggetti preposti al trattamento dei dati.