Il diritto alla privacy non fa distinzione tra vita privata e vita lavorativa; scopriamo in 10 punti entro quali limiti deve muoversi il datore di lavoro e quali regole devono essere rispettate.
I divieti per il datore di lavoro
Nell’ambito del rapporto di lavoro, esistono alcuni precisi divieti, stabiliti dall’articolo 8 dello statuto dei lavoratori, così come ricordato anche dall’articolo 113 della legge sulla privacy (196/2003). Questi divieti riguardano tutte le indagini finalizzate a raccogliere dati in merito a opinioni politiche, sindacali e religiose del lavoratore, “nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.
Le linee guida del Garante
Allo scopo di fornire un orientamento autorevole ai datori di lavoro, il Garante ha deliberato delle precise linee guida, sia per il settore pubblico che per quello privato, “in materia di trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro”. Questi documenti, che si differenziano per il settore pubblico e per quello privato, individuano i comportamenti da adottare e permettono ai lavoratori di conoscere facilmente i loro diritti in materia di privacy su molti aspetti che regolano il rapporto di lavoro.
Tipologia dei dati
Si pensa erroneamente che l’azienda debba fare attenzione solamente ai dati anagrafici dei propri dipendenti, ma in realtà il datore di lavoro è tenuto a trattare anche fotografie, documenti d’identità e dati biometrici, senza dimenticare tutto ciò che concerne lo stato di salute, presente e passato, dei lavoratori. Anche i periodi di assenza dal lavoro, possono rivelare alcune informazioni come ad esempio il godimento dei benefici riferibili alla legge 104/92 o altri tipi di congedo previsti dalla legge o dal contratto collettivo di categoria.
Come deve avvenire il trattamento
I dati personali possono essere trattati solamente quando strettamente necessari al normale svolgimento dell’attività lavorativa o quando sono indispensabili per adempiere a norme, regolamenti o contratti. Il trattamento dei dati deve avvenire in modo lecito, corretto e trasparente nei confronti dell’interessato, secondo quando previsto dal GDPR 679 del 2016. È bene inoltre ricordare che i dati devono essere:
- Pertinenti e limitati alla finalità (principio di minimizzazione)
- Aggiornati e, quando necessario, rettificati (principio di esattezza)
- Conservati per il tempo strettamente necessario (o quello stabilito dalle norme)
- Protetti in modo sicuro (principio di integrità e riservatezza)
L’articolo 5 del GDPR prevede anche che il titolare del trattamento sia competente in materia di privacy.
Dati trattati senza il consenso del lavoratore
I dati che riguardano il dipendente, non hanno bisogno di un’autorizzazione al trattamento, dato che sono necessari al contratto di lavoro “di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”. Questo è quanto stabilisce l’articolo 6 del GDPR. Inoltre è bene ricordare che il consenso non è necessario quando il trattamento dei dati è necessario per motivi di interesse pubblico.
Autorizzazione per il trattamento dei dati particolari
Quelli che venivano definiti dati “sensibili” (ora particolari), sono disciplinati dal provvedimento del Garante numero 146/2019 e sono soggetti a specifiche condizioni di trattamento. Ma quali sono i dati sensibili?
- Dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche;
- L’appartenenza a un sindacato;
- Dati genetici, dati biometrici trattati solo per identificare un essere umano;
- Dati relativi alla salute;
- Dati relativi alla vita sessuale o all’orientamento sessuale di una persona.
Fonte: commissione europea
Si ricorda inoltre che esistono delle prescrizioni specifiche, come nel caso dei turni di servizio esposti nelle bacheche. Il provvedimento specifica infatti che: “quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari)”.
I cartellini identificativi
Come chiarito dalle linee guida redatte dal Garante, anche il riportare informazioni personali sul cartellino identificativo è considerata una vera e propria divulgazione dei dati. Poiché alcuni lavoratori sono obbligati ad esporre un cartellino che ne permetta l’identificazione, è sufficiente indicare su di esso il solo nome, un codice identificativo come la matricola aziendale oppure il ruolo ricoperto dal lavoratore stesso. Altre informazioni non necessarie possono essere oggetto di sanzione da parte del garante.
Protezione dei dati sanitari
Il medico competente è un titolare autonomo del trattamento dei dati, nonostante per ovvi motivi operi nel perimetro del rapporto di lavoro. In qualità di professionista sanitario, è soggetto al segreto professionale e non deve richiedere (come avveniva in passato) il consenso al trattamento dei dati, sia che operi come privato che come medico all’interno di una struttura pubblica.
Accesso da parte dei sindacati ai dati personali
Nell’ambito dei rapporti tra sindacato e azienda, può capitare che i rappresentanti dei lavoratori debbano chiedere di visionare le liste del personale, ad esempio nelle procedure di licenziamento collettivo o nel controllo del monte ore di straordinario. La comunicazione di tali dati è sempre ammessa, in presenza di una norma di legge o su richiamo della contrattazione collettiva. In assenza di specifica previsione, potranno essere forniti solamente dati di tipo numerico.
Diritto di accesso ai dati dell’ex dipendente
Una volta terminato il rapporto di lavoro, non cessa il diritto di accesso ai propri dati da parte dell’ex dipendente. Il Garante ha infatti stabilito che il datore di lavoro è obbligato a comunicare i dati in proprio possesso (anche contenuti nei supporti informatici come PC e smartphone aziendali) in caso di richiesta esplicita da parte del suo ex dipendente. Questa disposizione è contenuta all’interno del Provvedimento dell’8 gennaio 2015.
⇒ Clicca qui per scoprire le più importanti figure legate alle gestione dei dati personali nel rapporto di lavoro.